反序列化漏洞分析及复现

最新推荐文章于 2025-11-05 15:00:21 发布
原创 最新推荐文章于 2025-11-05 15:00:21 发布 · 1.4k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #学习

普元Primeton EOS Platform(以下简称普元EOS)在节前被爆出存在反序列化漏洞。遂在此分析该漏洞成因,如有疏漏或错误,欢迎大佬指正包涵。
普元 EOS 框架分析
1、分析WEB应用的第一步首先看一下,web.xml文件。
在web.xml中我们可以看到其中配置了一个filter,其对应的类为“com.eos.access.http.InterceptorFilter”,拦截了所有的请求。
在这里插入图片描述
2、跟进该拦截器的“doFilter”方法。
可以看到InterceptorFilter创建了一个WebInterceptorChain,并将后续处理委托给了WebInterceptorChain。
在这里插入图片描述
3、跟进createChain方法。
可以看到WebInterceptorChain是通过获取当前请求的“servletPath”。遍历“configs”中的WebInterceptorConfig的对象。调用WebInterceptorConfig对象的“getPattern()”方法获取“Pattern”。将获取到的“Pattern”正则表达式与当前请求的“servletPath”进行正则匹配。匹配成功则从“interceptors”中获取对应的IWebInterceptor对象,添加进Chain中。
在这里插入图片描述
3.1 那么“configs”对象和“interceptors”对象是从哪里来的呢?
“configs”对象和“interceptors”对象有多种来源并且会在应用程序启动时配置完成。

最低0.47元/天 解锁文章
EOS Platform远程代码执行漏洞复现(XVE-2023-24691)
0xSec
04-24 2868
EOS Platform 中间件 任意 .jmx或者.download 后缀的接口存在反序列化漏洞,未经身份验证的攻击者可利用此漏洞执行任意代码,反弹shell或者写入后门文件,进一步可获取服务器权限。
反序列化漏洞详解
qq_48904485的博客
03-21 4446
一、基础知识 1、序列化 序列化serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,序列化的目的是方便数据的传输和存储。在PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的序列化格式: 二进制格式 字节数组 json字符串 xml字符串 比如下面是一个对象: class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s
反序列化漏洞 --shiro反序列化漏洞(CVE-2016-4437)
最新发布
2301_81064617的博客
11-05 955
在用户登录时,勾选”Remember Me“,则将用户身份序列化,并将序列化后的内容进行AES加密,再使用base64编码,发给服务器端,如果服务器端不进行身份验证的话,会将客户端请求中的cookie中的rememberMe进行base64解码,AES解密,反序列化,则获取到用户身份。当用户登录时,如果勾选了“记住我”,Shiro 会生成一个加密的、持久化的凭证,并将其存储在用户浏览器的。这样,即使用户关闭浏览器再重新打开,只要该 Cookie 存在且有效,用户就无需重新登录。输入信息提交然后抓包分析
反序列化(Unserialize)漏洞详解
热门推荐
qq_49422880的博客
09-28 1万+
序列化和反序列化漏洞分析   序列化(serialize) 就将对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将当前的状态写入到临时或持久性的存储区 【将状态信息保存为字符串】。   反序列化(unserialize) 就是把序列化之后的字符串在转化为对象。 其实在序列化的过程中是没有任何的漏洞的,产生漏洞的主要的原因就是在反序列化的过程中,通过我们的恶意篡改会产生魔法函数绕过,字符逃逸,远程命令执行等漏洞,最早发现这些漏洞的大佬是真的牛。 一、简单的魔法函数 魔法函数 调用
反序列化漏洞
weixin_45007073的博客
02-03 350
序列化与反序列 序列化:把对象转换为字节序列的过程称为对象的序列化 反序列化:把字节序列恢复为对象的过程称为对象的反序列化 漏洞成因及本质 成因:反序列化对象中存在魔术方法,而且魔术方法中的代码可以被控制,漏洞根据不同的代码可以导致各种攻击,如代码注入、SQL注入、目录遍历等等。 本质:unserialize函数的变量可控、php文件中存在可利用的类,类中有魔术方法。 魔术方法 魔术方法 触发条件 __wakeup() 使用unserialize时触发 __sleep() 使用seria
反序列化漏洞分析复现工作
kali_Ma的博客
01-08 2936
0x00 概述 GENESIS64软件的多个版本存在反序列化漏洞,影响多个组件,例如: 根据CVE漏洞相关描述,下载对应GENESIS软件版本搭建环境,进行漏洞分析复现工作。 【一>所有资源获取<一】 1、200份很多已经买不到的绝版电子书 2、30G安全大厂内部的视频资料 3、100份src文档 4、常见安全面试题 5、ctf大赛经典题目解析 6、全套工具包 7、应急响应笔记 8、网络安全学习路线 0x01 服务分析 安装完成后对整个系统进行熟悉,发现Web程序接口使用Silverl
JMX 反序列化漏洞
蚁景网安学院
07-18 1283
前段时间看到 EOS Platform 爆了这个洞,Apache James,Kafka-UI 都爆了这几个洞,所以决定系统来学习一下这个漏洞点。JMX(Java Management Extensions,即 Java 管理扩展)是一个为应用程序、设备、系统等植入管理功能的框架。
WebGoat JAVA反序列化漏洞分析复现_webgoat反序列化,苦熬一个月
2401_83974064的博客
04-18 570
Python编程学习学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
Shiro 反序列化漏洞复现
weixin_51559599的博客
12-08 1424
在 Apache shiro 的框架中,执行身份验证时提供了一个记住密码的功能(RememberMe),如果用户登录时勾选了这个选项。用户的请求数据包中将会在 cookie 字段多出一段数据,这一段数据包含了用户的身份信息,且是经过加密的。加密的过程是:用户信息=>序列化=>AES加密(这一步需要用密钥key)=>base64编码=>添加到 RememberMe Cookie 字段。勾选记住密码之后,下次登录时,服务端会根据客户端请求包中的 cookie 值进行身份验证,无需登录即可访问。
Weblogic 反序列化漏洞深度剖析与复现
xinyaoyaotu的博客
02-19 1301
在 Java 编程体系中,序列化是把对象的状态信息转化为一种便于存储或传输的格式的过程。而反序列化则是相反的操作,即将这些存储或传输的信息还原为原始对象。这一机制在对象的持久化存储,如保存对象到文件系统,以及在网络中传递对象等场景中发挥着关键作用,极大地方便了 Java 应用的开发与数据交互。Weblogic 反序列化漏洞犹如一颗隐藏在网络深处的定时炸弹,随时可能引发服务器被攻击、数据泄露等严重后果,给企业和用户带来巨大的损失。
EOS 反序列化交易,获取交易ID
changliangwl的专栏
09-07 927
var crypto = require('crypto'); var { Serialize ,Api ,JsonRpc} = require('eosjs'); var fetch = require('node-fetch'); var { JsSignatureProvider } = require('eosjs/dist/eosjs-jssig'); var { TextEncoder, TextDecoder } = require('util'); var se...
Typecho CMS 反序列化漏洞(CVE-2018-18753)复现
2301_80661529的博客
03-16 837
安装:创建数据库typecho再进入安装程序,输入数据库密码,设置登录密码即可直接使用即可。
PAS安全: CNVD-C-2022-122084 Primeton AppServer管理控制台存在弱口令漏洞的修复方法
py_doc的博客
08-09 643
PAS安全: CNVD-C-2022-122084 Primeton AppServer管理控制台存在弱口令漏洞的修复方法
解密大文件传输平台新版本21种特性
低代码开发,数据,中间件,企业架构原创技术分享
04-05 504
本文主要介绍大文件传输平台及其传输特性,以平台版本升级为切入点,探讨大文件传输平台对多种传输场景的支持及部署管控方面能力的增强。目 录01大文件传输平台‍‍02文件传输平台新版本特性‍‍‍‍‍‍03信创项目案例‍‍04总结01大文件传输平台‍1.1 文件传输面临的挑战随着企业业务拓展,业务量及业务场景的增加,随之增加的不仅仅是数据的体量,复杂部署环境、多场景混合传输需...
深入剖析12大WEB安全漏洞与PAS防范措施
weixin_59191169的博客
07-03 526
可以用一种通用方式,对JDK的ObjectInputStream的类进行字节码改造,增加可以攻击的反序列化类的黑名单,在反序列化过程中,读取反序列化类名,对存在于黑名单中的类进行拦截,杜绝反序列化攻击。java的反序列漏洞在于用户通过远程RMI、JMX或HTTP调用服务端的时候,用到了ObjectInputStream类的readObject方法,调用在传参数的时候,在参数的payload中注入了恶意的执行代码,导致参数在反序列化的时候,执行代码被执行,从而在目标机器上执行任意命令。
DI 6.2,DI使用的tomcat7.0.54扫描出安全漏洞,有什么解决方案么?
普元开发者乐园
12-04 1057
DI 6.2,DI使用的tomcat7.0.54扫描出安全漏洞,有什么解决方案么?
反序列化漏洞汇总
hackzkaq的博客
12-08 5446
一.反序列化的基本内容 类对象方法 类(Class): 用来描述具有相同的属性和方法的对象的集合。 它定义了该集合中每个对象所共有的属性和方法。对象是类的实例。 对象:通过类定义的数据结构实例。对象包括两个数据成员(类变量和实例变量)和方法。 对象:某一个具体的事物、实体或事例 类是类型,比如人类,犬类; 对象是某种类的一个实例(实际的例子),比如身为人类的你就是一个对象,你家养的狗就属于犬类的一个对象,或者说一个实例; 你可能经常会听到“实例化对象”,这句话的意思就是创建对象,此处的实例名词作动词用,作名
反序列化漏洞漏洞复现
来日可期的博客
09-05 4765
反序列化漏洞是指应用程序在对已经序列化的数据进行反序列化时,由于缺少必要的验证或过滤,导致恶意数据被成功地反序列化为对象并被执行。攻击者可以构造恶意数据来利用这个漏洞,攻击方式通常是通过网络等传输渠道向目标应用程序发送序列化数据,使得应用程序在反序列化时执行了攻击者所构造的恶意代码,进而导致应用程序受到攻击。
weblogic和fastjson反序列化漏洞原理分析复现
09-07
1. WebLogic反序列化漏洞原理分析复现WebLogic反序列化漏洞是指通过利用WebLogic Server中T3协议的漏洞,攻击者可以在目标服务器上执行任意代码。这个漏洞的根本原因是WebLogic Server在处理T3协议时未正确过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值