java反序列化漏洞POP查找_Java反序列化漏洞:在受限环境中从漏洞发现到获取反向Shell...

最新推荐文章于 2023-05-08 00:15:00 发布
最新推荐文章于 2023-05-08 00:15:00 发布
阅读量238 收藏 1
点赞数
文章标签: java反序列化漏洞POP查找
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40006963/article/details/115086501
版权
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。前言Java反序列化漏洞可以说是Java安全的一块心病,近年来更是在安全界“出尽风头”。其实说到Java反序列化的问题,早在2015年年初的在AppSecCali大会上,两名安全研究人员Chris Frohoff和Gabriel Lawrence发表了一篇题为《Marshalli...
摘要由CSDN通过智能技术生成

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

前言

Java反序列化漏洞可以说是Java安全的一块心病,近年来更是在安全界“出尽风头”。其实说到Java反序列化的问题,早在2015年年初的在AppSecCali大会上,两名安全研究人员Chris Frohoff 和 Gabriel Lawrence发表了一篇题为《Marshalling Pickles》的报告,就详细描述了Java反序列化漏洞可以利用Apache Commons Collections这个常用的Java库来实现任意代码执行,甚至还提供了相应的Payload生成工具ysoserial。

通过对象序列化,开发人员可将内存中对象转换为二进制和文本数据格式进行存储或传输。但是,从不受信任的数据反序列化对象可能会导致攻击者实现远程代码执行。

本文我将以WebGoat 8中的反序列化挑战(部署在Docker上)为例,向大家展示完成该挑战并进一步获取目标反向shell的完整过程。

漏洞发现

正如挑战中所提到的,易受攻击的页面从用户输入中获取Base64格式的序列化Java对象,并不加过滤的对其进行反序列化操作。我们将通过提供一个序列化对象来利用这个漏洞,该对象将触发面向属性的编程链(POP链)以在反序列化期间实现远程命令执行。

97b6b9493fd61521af508ba4b326cc3b.png

启动Burp并安装一个名为Java-Deserialization-Scanner的插件。该插件主要包括2个功能࿱

最低0.47元/天 解锁文章
weixin_40006963
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
21-5 PHP反序列化漏洞-POP链构造
weixin_43263566的博客
01-20 403
举例来说,假设有以下调用关系:A --> B,B --> C,A --> B --> C。在读代码时,会遇到很多干扰函数或代码,这些函数或代码没有任何作用,只会干扰我们的阅读。总之,要想有效地读懂代码,需要对编程语言的语法和常见函数有一定的了解,同时要有耐心和细心,逐行分析代码,找出关键点。方法使用了正则表达式检查,我们需要构造一个恶意的序列化对象,以绕过正则表达式的检测。首先,根据代码的逻辑,我们需要构造一个经过序列化的有效对象,并将其作为。: 这是一个构造函数的魔术方法,在创建类的实例时自动调用。
第38天:WEB漏洞-反序列化之PHP&JAVA全解(下)1
08-03
演示案例:Java 反序列化及命令执行代码测试WebGoat_Javaweb 靶场反序列化测试0x01 注入判断,获取管理员帐号密码:根据提示附件进行 java
CTF-PHP反序列化漏洞3-构造POP
Eason_LYC安全白帽子的成长博客
05-08 1963
PHP反序列化攻击是一种常见的Web攻击,攻击者通过构造恶意的序列化数据,将其传递给目标服务器,从而导致服务器执行非预期的操作。而Pop链则是一种利用PHP反序列化漏洞的攻击方式,可以在未授权的情况下执行任意代码。《CTF基础入门系列》专栏文章打破以往CTF速成或就题论题模式。采用系统讲解基础知识+入门题目练习+真题讲解方式。让刚接触CTF的读者真正掌握CTF各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
WEB攻防-通用漏洞&PHP反序列化&POP链构造&魔术方法&原生类
ran的博客
04-09 1139
就是一种典型的数据传输方法,可以更好的保证代码的正确性和完整性。 在php里有时会存在一些魔术方法,可以控制优先执行什么或者初始化什么,但是如果魔术方法使用不当,就可能会造成反序列化漏洞。原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL 注入,目录遍历等不可控后果。在反序列化的过程自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象的一些魔术方法。
WebGoat JAVA反序列化漏洞分析复现
leah126的博客
03-09 634
该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。但根据上面的代码分析也得知需要在提交之后,会进行base64解码,所以需要提前加密,但是像这种序列化数据直接copy出来并加密的话。为此写了加密的小工具。进行简单分析一波之后,使用ysoserial生成序列化的payload,这里的话不做过多讲解,具体使用应该大家都会。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
java反序列化漏洞-验证.rar
06-25
Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于使用Java进行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程,序列化和反序列化是常见的数据传输和持久化手段,允许对象的状态被转换为字节流,...
Java反序列化漏洞利用工具的实现共5页.pdf.zip
11-23
Java反序列化漏洞是软件安全领域的一个重要话题,它源于Java平台的一种设计特性,即对象可以在序列化后存储或在网络上传输,然后通过反序列化恢复为原来的对象状态。这种功能在分布式系统、持久化存储和网络通信...
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
最新发布
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
weblogic反序列化漏洞测试jar包
02-17
weblogic反序列化漏洞测试jar包 如涉及版权问题请与我联系
WebGoat8.2.2-A8不安全的反序列化
weixin_45032957的博客
12-02 549
1、概念 使用反序列化在各编程语言略有不同,如Java、PHP、Python、Ruby、C/C++等等,但在关键概念上是一样的 序列化:将(内存的)对象转化成数据格式,以便存储或传输 反序列化:即序列化的反过程,从某种格式的数据构建对象 如今最受欢迎的序列化数据格式是JSON,而在这之前是XML,只有数据是序列化的,而代码本身不是 2、Native Serialization-本地序列化/客制序列化 一些编程语言提供了自己的序列化功能,所使用的数据格式比一般的JSON或XML拥有更多的特性和功能,甚至
java反序列化
weixin_52221158的博客
08-17 780
JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI 服务供应接口(SPI)的实现,由管理者将JNDI API 映射为特定的命名服务和目录系统,使得 Java 应用程序可以和这些命名服务和目录服务直接进行交互。漏洞经常存在于一些 web组件。例如 weblogic,Fastjson,JBoss,WebSphere,Jenkins,OpenNMS,Shiro。打开idea,看一下源码(在windows系统解压jar包,在idea创建项目查看,找到对应的jar文件,右键选择添加为库即可查看)...
代码审计之WEBGOAT 反序列化
weixin_43263451的博客
06-11 970
反序列化这关在前端页面可以看到是提交token到后端,先看一下接口名可以看到接口名为InsecureDeserialization/task,那就后端全局搜索InsecureDeserialization/task,最终定位到InsecureDeserializationTask.java源码如下: ​ 可以看到大概就是对输入的token先base64解码然后输入到字节数组输入流然后再接到对象输入流,并利用readObject进行反序列化操作得到对象o,然后判断该对象是否属于VulnerableTask
三、Web漏洞-反序列化
weixin_70557959的博客
05-11 3582
37、WEB漏洞-反序列化之PHP(上) 原理 PHP 反序列化原理: 1.未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL 注入,目录遍历等不可控后果。 2.其实跟文件解析差不多,都是由于传递的恶意参数被执行(序列化和反序列化相当于加解密过程) 3.在反序列化的过程自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象的一些魔术方法。 ---序列化函数:serialize() //将一个对象转换成一个字符串 ...
Javassist动态编程】把字符串转换代码动态执行
weixin_65690086的博客
07-28 439
Javassist动态编程】把字符串转换代码动态执行
php反序列化漏洞pop
weixin_60719780的博客
02-08 1846
常用于上层语言构造特定调用链的方法,与二进制利用的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用链,最终达到攻击者邪恶的目的。类似于PWN的ROP,有时候反序列化一个对象时,由它调用的__wakeup()又去调用了其他的对象,由此可以溯源而上,利用一次次的 " gadget " 找到漏洞点。把魔术方法作为最开始的小组件,然后在魔术方法调用其他函数(小组件),通过寻找相同名字的函数,再与
java反序列化漏洞POP查找_分析调试apache shiro反序列化漏洞(CVE-2016-4437)
weixin_39664746的博客
03-08 234
文章最后更新时间为:2020年03月16日 16:38:091. 什么是java反序列化序列化和反序列化是一种常见的编程思想,php、python也都存在此种机制。序列化就是将对象转化成字节流,便于保存在内存、文件或者数据库(保存此对象的状态)。反序列化就是将字节流转化为对象。java反序列化也类似,某个类只要实现了java.io.Serialization(或者java.io.External...
java反序列化漏洞及其检测
YTANRA的博客
09-01 426
Java 序列化是指把 Java 对象转换为字节序列的过程,序列化后的字节数据可以保存在文件、数据库;而Java 反序列化是指把字节序列恢复为 Java 对象的过程。如下图所示:序列化和反序列化通过和方法实现。在java任何类如果想要序列化必须实现}其实是一个空接口,在java该接口的唯一作用是对一个类做一个标记让jre确定这个类是可以序列化的。这两个函数不是的接口函数,而是约定的函数,如果一个类实现了这两个函数,那么在序列化和反序列化的时候和会主动调用这两个函数。...
marshalsec.pdf
06-13
作者指出,这些漏洞不仅限于像Java Serialization或XStream这样功能强大的机制,而是可能扩展到其他序列化技术。 论文详细分析了多个开源Java marshalling库,允许接收攻击者提供的任意类型数据进行反序列化处理。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值