JAVA反序列化

java反序列化-ysoserial-调试分析总结篇(7)

前言:CommonsCollections7外层也是一条新的构造链,外层由hashtable的readObject进入,这条构造链挺有意思,因为用到了hash碰撞yso构造分析:首先构造进行rce所需要的转换链,这里也用的是chianed里面套Constantrans+invoketrans的方法接着构造两个hashmap,通过lazymap的decorate用chained进行装饰后放进hash
tr1ple·2020-03-06 22:00

java反序列化-ysoserial-调试分析总结篇(6)

前言:这篇记录CommonsCollections6的调试,外层也是新的类,换成了hashset,即从hashset触发其readObject(),yso给的调用链如下图所示利用链分析:首先在hashset内部首先获取器容量与负载因子等操作,然后创建hashmap,将ObjectinputStream中的对象放到hashmap中,即调用hashmap.put函数,可以看到此时实际上放进去的是一个T
tr1ple·2020-03-05 22:00

JAVA反序列化中的反射链

从反射链的构造看JAVA反序列化http://www.freebuf.com/news/150872.html构造反射链:Transformer类,源码解释为从一个类转化为另一个类。
sum3mer·2020-03-05 02:07

java反序列化-ysoserial-调试分析总结篇(5)

前言:这篇文章继续分析commonscollections5,由如下调用链可以看到此时最外层的类不是annotationinvoke,也不是priorityqueue了,变成了badattribute该类要求没有配置securitymanager利用链分析:首先在badAttribute的readObject中,调用了valObj.toString(),其中valObj中存储TiedMapEntr
tr1ple·2020-03-04 23:00

java反序列化-ysoserial-调试分析总结篇(4)

1.前言这篇文章继续分析commoncollections4利用链,这篇文章是对cc2的改造,和cc3一样,cc3是对cc1的改造,cc4则是对cc2的改造,里面chained的invoke变成了instantiateTransformer,所以不用invoke反射调用方法,所以外层queue里面放的元素随意缩减版的函数调用栈如下图所示:2.利用链分析:调用还是从PriorityQueue.rea
tr1ple·2020-03-03 22:00

java反序列化-ysoserial-调试分析总结篇(3)

前言:这篇文章主要分析commoncollections3,这条利用链如yso描述,这个与cc1类似,只是反射调用方法是用的不是invokeTransformer而用的是InstantiateTransformer,整个调用过程如下图利用链分析:如上图所示,入口点还是Annotationinvoationhandler的Entryset此时将会调用membervalues.get,其中var4位e
tr1ple·2020-03-01 21:00

java反序列化-ysoserial-调试分析总结篇(2)

前言:这篇主要分析commonCollections2,调用链如下图所示:调用链分析:分析环境:jdk1.8.0反序列化的入口点为src.zip!/java/util/PriorityQueue.java此时将会对队列调用siftdown函数,其中队列中包含了两个元素,其中一个即为templatesImpl恶意类接下来调用siftDownUsingConparator函数在这里将调用Transfo
tr1ple·2020-02-29 20:00

java反序列化-ysoserial-调试分析总结篇(1)

前言:ysoserial很强大,花时间好好研究研究其中的利用链对于了解java语言的一些特性很有帮助,也方便打好学习java安全的基础,刚学反序列化时就分析过commoncollections,但是是跟着网上教程,自己理解也不够充分,现在重新根据自己的调试进行理解,这篇文章先分析URLDNS和commonCollections1利用链分析:1.urldns调用链如上图所示,由hashmap的key
tr1ple·2020-02-28 21:00

Java序列化

什么是Java序列化Java序列化是将对象的状态保存为一组字节,Java反序列化是将这些字节组装成对象。必须注意地是,对象序列化保存的是对象的"状态",即它的成员变量。
黄二的NPE·2020-02-24 20:24

利用Java反序列化漏洞在Windows上的挖矿实验

最近,安全社区中有很多人都在讨论如何利用Java反序列化漏洞来攻击类似Apache、SOLR和WebLogic之类的系统。不说废话,我们直接进入正题。
怪物小姐姐·2020-02-24 17:19

java序列化那些事儿

java序列化是指把java对象转换为字节序列的过程;而java反序列化是指把字节序列恢复为java对象的过程。
破东风CAFEBABY·2020-02-19 06:55

CommonCollection1分析

前置知识java反序列化java动态代理机制java动态代理想象一个场景,如果我们有一个展示图片的功能,可以展示大图,缩略图和小图,而我们需要在展示图片的时候加上我们自己的水印,代码应该是这样:packageflight.proxy.askldfjlasdk
f1ight·2020-02-05 14:19

blackhat-New-Exploit-Technique-In-Java-Deserialization-Attack-笔记

java反序列化的攻击场景:1.远程服务接收了不被信任的反序列化数据2.classpath中存在序列化所需要的类3.序列化的类中存在危险函数从上面3点看出和以前看php的反序列化攻击场景从宏观上看差不多
tr1ple·2020-02-04 18:00

Java程序员——你写的应用已经不安全了!

这几天,只要你摆渡“Java”、“反序列化漏洞”等关键词,有关【java反序列化漏洞——2015年被低估的“破坏之王”】、【一个被严重忽略了的漏洞】等标题就赫然出现。这不是危言耸听!!!
合天网安实验室·2020-02-02 23:30

Weblogic相关漏洞

目录WeblogicWeblogic出现过的漏洞SSRF(CVE-2014-4210)任意文件上传(CVE-2018-2894)JAVA反序列化CVE-2015-4852CVE-2016-0638CVE
谢公子·2020-01-14 09:55

CVE-2018-2628安全补丁并不完善 致WebLogic服务器仍易受黑客攻击

4月早些时候,甲骨文公司(Oracle)针对旗下WebLogicServer产品发布了一个至关重要的安全补丁,用于修补一个被评定为“高危”的Java反序列化远程代码执行漏洞,该漏洞允许攻击者能够在未授权的情况下远程执行任意代码
乖巧小墨宝·2019-12-18 07:46

xmldecoder反序列化漏洞分析

可以进行xml文档的解析,这些库的使用不当,会导致XXE漏洞的发生,但是这些类库中,SAX库允许自己去定义整个xml文档处理的handler,可以在xml文档解析的过程中,对解析出来的节点进行一些操作而为java
f1ight·2019-11-14 14:22

Java序列化与反序列化三连问:是什么?为什么要?如何做?

Java序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为Java对象的过程:序列化:对象序列化的最主要的用处就是在传递和保存对象的时候,保证对象的完整性和可传递性。
Java知音*·2019-11-12 13:00

Java序列化与反序列化

解答1.Java序列化与反序列化Java序列化是指,把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。
海边的卡夫卡丶·2019-11-01 20:42

java中的序列化和反序列化简析

实现序列化和反序列化的必备条件四、如何实现序列化和反序列化五、代码实现结果如下总结:序列化的实现条件注意点一、什么是序列化和反序列化Java序列化(Serialization):把java对象转换为字节序列的过程java
出东海·2019-09-23 18:00

浅谈Java反序列化漏洞原理(案例未完善后续补充)

序列化与反序列化序列化用途:方便于对象在网络中的传输和存储java的反序列化序列化就是将对象转换为流,利于储存和传输的格式反序列化与序列化相反,将流转换为对象例如:json序列化、XML序列化、二进制序列化、SOAP序列化序列化:java.io.ObjectOutputStream类中的writeObject()该方法把对象序列化,将字节序列写到一个目标输出流中(.ser扩展名)反序列化:java
r0ckysec·2019-09-18 22:00

Jenkins Java 反序列化远程执行代码漏洞(CVE-2017-1000353)

JenkinsJava反序列化远程执行代码漏洞(CVE-2017-1000353)一、漏洞描述该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中,jenkins利用此通道来接收命令,恶意攻击者可以构造恶意攻击参数远程执行命令
雨中落叶·2019-08-05 13:00

深入理解JNDI注入与Java反序列化漏洞利用

原文链接:https://kingx.me/Exploit-Java-Deserialization-with-RMI.htmlrmi和jndi这些概念,一直接触,但是看了会儿还是略微懵逼,这篇文章暂时理清了我的思路[承上启下]----------------------------------上边属于我自己瞎扯的,下边是kingx大佬写的-----------------------------
ProjectDer·2019-08-04 19:33

Jboss反序列化漏洞复现(CVE-2017-12149)

Jboss反序列化漏洞复现(CVE-2017-12149)一、漏洞描述该漏洞为Java反序列化错误类型,存在于jboss的HttpInvoker组件中的ReadOnlyAccessFilter过滤器中。
雨中落叶·2019-07-30 13:00

weblogic漏洞总结 复现(未完)

Weblogic10.3.6.0Weblogic12.1.3.0Weblogic12.2.1.1Weblogic12.2.1.2Weblogic12.2.1.3…………历史漏洞#控制台路径泄露Weakpassword#SSRF:CVE-2014-4210#JAVA
潜心学习的小菜狗·2019-07-25 19:00

java反序列化RCE回显研究

总结一下常见反序列化RCE回显几种方式如下:a).使用java.net.URLClassLoader类,远程加载自定义类(放在自己服务器上的jar包),可以自定义方法执行。b).在自定义类中,抛出异常,取得回显结果。eg:Jboss报错返回命令执行结果。利用defineClass加载byte[]返回Class对象,不用远程加载恶意类。直接利用RCE将执行的命令写入服务器文件中,再次访问得到执行命令
java276582434·2019-05-25 19:06

介绍一些 Weblogic 常见的漏洞

介绍Weblogic常见的漏洞,其中包括:弱口令、Java反序列化、XMLdecoder反序列化、SSRF漏洞、任意文件上传,并根据其漏洞,使用Docker+Vulhub进行复现。
csdn大数据·2019-05-24 08:00

java反序列化漏洞原理研习,java基础面试笔试题

零、Java反序列化漏洞java的安全问题首屈一指的就是反序列化漏洞,可以执行命令啊,甚至直接getshell,所以趁着这个假期好好研究一下java的反序列化漏洞。另外呢,组里多位大佬对
ccc_ccc8·2019-04-25 09:52

java反序列化 (PHPSerializer 序列化的对象)

java反序列化php序列化的对象1、原始数据为一个字符串2、原始数据为一个对象3、原始数据为一个集合(List或Map)1、反序列化为java字符串s:21:"这是一个字符串";Stringstr="
Henry_Lin_Wind·2019-04-07 18:25

反序列化的一些tricks

文章目录简介:正文python反序列化0x01基础利用0x02input函数0x03任意函数构造0x04类函数构造0x05构造SSTI0x06其它注意参考java反序列化序列数据结构序列化的执行流程:反序列化流程参考链接正文
JBlock·2019-04-06 18:45

常见的java序列化/反序列化几种类型

Java序列化是指把Java对象转换为字节序列的过程,Java反序列化是指把字节序列恢复为Java对象的过程主要有两种用途:把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;在网络上传送对象的字节序列
LiryZlian·2019-01-11 01:34

CommonsCollections2反序列化漏洞研究记录

反序列化漏洞四个重要方法Java反序列化的过程中可以自动执行序列化类的四个方法,且反序列化的类必须实现了Serializable接口。
CONSCRIPT·2018-12-20 16:37

JAVA反序列化漏洞

本文参照几位大佬的博客进行归纳总结,给大家阐述了JAVA反序列化
谢公子·2018-12-20 14:25

jdk解决反序列化的方法

翻译自:https://access.redhat.com/blogs/766093/posts/3135411翻译:聂心明Java反序列化漏洞已经是过去两年安全圈里面最热的流行词了,因为每一个使用原始
niexinming·2018-11-08 05:27

从WebLogic看反序列化漏洞的利用与防御

0x00前言上周出的WebLogic反序列漏洞,跟进分析的时候发现涉及到不少Java反序列化的知识,然后借这个机会把一些Java反序列化漏洞的利用与防御需要的知识点重新捋一遍,做了一些测试和调试后写成这份报告
FLy_鹏程万里·2018-10-29 14:38

阳光保险集团java反序列化命令执行两枚打包(写shell教程Linux)

漏洞标题阳光保险集团java反序列化命令执行两枚打包(写shell教程Linux)相关厂商阳光保险集团漏洞作者进击的zjx提交时间2015-12-1423:01公开时间2016-01-2817:10漏洞类型命令执行危害等级高自评
大方子·2018-10-06 22:01

序列化和反序列化的详解

一、基本概念1、序列化和反序列化的定义:(1)Java序列化就是指把Java对象转换为字节序列的过程Java反序列化就是指把字节序列恢复为Java对象的过程。
tree_ifconfig·2018-09-19 09:29

java反序列化 - transformedMap类可以执行恶意代码的原理

java反序列化-transformedMap类可以执行恶意代码的原理0x00代码Mapmap=newHashMap();map.put("key","value");//调用目标对象的toString
wx5b0b88843cb2a·2018-08-16 15:34

java反序列化 - Transformer类可以执行恶意代码的原理

java反序列化-Transformer类可以执行恶意代码的原理0x00代码Transformer[]transformers=newTransformer[]{newConstantTransformer
wx5b0b88843cb2a·2018-08-16 14:43

java反序列化原理-Demo(二)

java反序列化原理-Demo(二)0x00测试代码以及运行结果测试代码:packagetest;importjava.io.ByteArrayInputStream;importjava.io.ByteArrayOutputStream
wx5b0b88843cb2a·2018-08-14 18:01

java反序列化原理-Demo(一)

java反序列化原理-Demo(一)0x00什么是java序列化和反序列?
wx5b0b88843cb2a·2018-08-13 17:03

反序列化工具ysoserial使用介绍

ysoserial集合了各种java反序列化payload;下载地址:https://github.com/angelwhu/ysoserial0x01基本使用方法在公网vps上执行:java-cpysoserial
wx5b0b88843cb2a·2018-08-10 15:49

Weblogic 反序列化漏洞历史

Weblogic直接反序列化漏洞回顾1.CVE-2015-4852利用Java反序列化和ApacheCo
wx5b0b88843cb2a·2018-08-10 14:57

序列化和反序列化的底层实现原理是什么

一、基本概念1、什么是序列化和反序列化(1)Java序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为Java对象的过程;(2)序列化:对象序列化的最主要的用处就是在传递和保存对象的时候
T-Janey·2018-07-02 14:03

利用Java反序列化漏洞在Windows上的挖矿实验

最近,安全社区中有很多人都在讨论如何利用Java反序列化漏洞来攻击类似Apache、SOLR和WebLogic之类的系统。不说废话,我们直接进入正题。
AliceSmith1·2018-04-22 15:23

DefineClass在Java反序列化当中的利用

本文分享一下defineClass在反序列化漏洞当中的使用场景,以及在exp构造过程中的一些使用技巧,马上进入正题。0×00前言首先看一下defineClass的官方定义众所周知,java编译器会将.java文件编译成jvm可以识别的机器代码保存在.class文件当中。正常情况下,java会先调用classLoader去加载.class文件,然后调用loadClass函数去加载对应的类名,返回一个
qq_27446553·2018-04-14 15:36

JDK源码之序列化与反序列化

第一部分:WhatJava序列化是指把Java对象保存为二进制字节码的过程,Java反序列化是指把二进制码重新转换成Java对象的过程。那么为什么需要序列化呢?第
SuperHakce·2018-03-29 10:39

【每日安全资讯】通过JBoss反序列化(CVE-2017-12149)浅谈Java反序列化漏洞

前段时间学校学习J2EE,用到了jboss,顺便看了下jboss的反序列化,再浅谈下反序列化漏洞。Java序列化,简而言之就是把java对象转化为字节序列的过程。而反序列话则是再把字节序列恢复为java对象的过程,然而就在这一转一变得过程中,程序员的过滤不严格,就可以导致攻击者恶意构造的代码的实现。举个简单的例子,jboss的反序列化漏洞出现在jboss\server\all\deploy\htt
技术无边·2018-03-23 00:00

Java反序列化之commons-beanutils分析

TemplatesImpl类是一个可序列化的类,其中有一个属性_bytecodes,里面保存的数据在defineTransletClasses函数里将会被加载成类:存在着这样一条调用链条:简单来说,只要是能调用到getOutputProperties函数,就能触发包含在_bytecodes里的类构造函数被执行(这个类是由***者来实现的)。Payload第一部分:创建了一个BeanComparat
fatshi·2017-12-13 10:34

Java反序列化漏洞原理

一、背景2015年11月6日FoxGloveSecurity安全团队的@breenmachine发布了一篇长博客,阐述了利用Java反序列化和ApacheCommonsCollections这一基础类库实现远程命令执行的真实案例
Jewel591·2017-11-23 19:35
上一页 4 5 6 7 8 9 10 11 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他