【网络安全渗透测试零基础入门必知必会】之Java反序列化漏洞及实例解析(非常详细)零基础入门到精通,收藏这一篇就够了4

原创 于 2024-07-24 08:41:54 发布 · 826 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #java #安全

前言

这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段反序列化渗透与防御第4篇。

本文主要讲解java反序列化漏洞实例解析

喜欢的朋友们,记得给大白点赞支持和收藏一下,关注我,学习黑客技术。

一、序列化和反序列化

序列化

    把 Java 对象转换为字节序列(字节流)的过程。

反序列化

    把字节序列(字节流)恢复为 Java 对象的过程。

用途

  • 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中(持久化对象)。

  • 在网络上传送对象的字节序列(网络传输对象)

二、Java反序列化漏洞

数据出现

1、功能特性:

    反序列化操作一般应用在导入模板文件、网络通信、数据传输、日志格式化存储、对象数

据落磁盘、或 DB 存储等业务场景。因此审计过程中重点关注这些功能板块。

2、数据特性:

    一段数据以 rO0AB 开头,你基本可以确定这串就是 JAVA 序列化 base64 加密的数据;  
  
    或者如果以 ACED 开头,那么他就是这一段 java 序列化的 16 进制。

3、出现具体:

    http 参数, cookie , sesion ,存储方式可能是 base64(rO0 ),压缩后的base64(H4s),MII 等 Servlets http,Sockets,Session 管理器,包含的协议就包括: JMX、RMI、JMS、JND1等。(/xac/Xed) xm IXstream/XmldEcoder等(http Body:Content-type: application/xml)json(jackson,fastjson)http请求中包含。

函数接口

1、Java:

    Serializable Externalizable 接口、 fastjson 、 jackson 、 gson 、ObjectInputStream.read、 ObjectObjectInputStream.readUnshared 、 XMLDecoder.read、 ObjectYaml.loadXStream.fromXML 、ObjectMapper.readValue、 JSON.parseObject 等。

2、PHP :

    serialize() 、 unserialize()。

3、Python:

     pickle。

漏洞发现

1、黑盒分析:

    数据库出现地---观察数据特性。

2、白盒分析:

    组件安全&函数搜索&功能模块。

漏洞利用

    Ysoserial集成的jar包配合生成,特性的专业漏洞利用工具等。

三、Java序列化反序列化演示

<第一部分>

1.演示需要用到的代码。

2.执行序列化部分的代码,可以看到在指定路径下生成了指定的文件,文件内包含序列化的内容。

3.使用工具对序列化内容进行查看,可以看到其头部内容为ACED。

4.执行反序列化部分的代码,可以看到其反序列化成功,并且将原始的内容进行了返回。

5.至此,我们可以想到,如果将反序列化的目标文件的内容进行修改,修改成具有攻击性的代码,那么就可以实现一定的攻击性行为。

<第二部分>

1.这里用到一款工具,其支持一些pyload的生成。

2.打开工具。

3.后面为空的就是不需要其它的包,只需要java的原生类。

4. 先来到下面的网站获取一个地址。

5.在工具内执行下面的命令。

6.来到目标路径下可以看到生成的文件,以及文件内的序列化内容。

7. 使用工具产看,其头部内容为ACED。

8.将a.txt放到刚刚反序列化的目录下。

9.将正常要进行反序列化的文件改成我们刚刚使用工具生成的文件。

10.执行序列化程序。

11.可以看到网站内成功获取到了数据。

12.这里发生了啥?

    在这里我们将其原有的代码数据更改成了一个访问http的代码数据,当对方在进行反序列化的时候,就会将我们更改后的代码数据进行执行,就会对http进行访问。

四、靶场演示

1.启动靶场。

2.进入靶场,选择对应关卡。

3. 可以看到给出的序列化代码是以rO0AB开头的,是 JAVA 序列化 base64 加密的数据。

4.使用工具生成pyload。

5.再来目录下可以看到生成的文件。

6.生成的内容如下。

7.因为源代码会将序列化内容进行base64解密,因此我们还需要对其进行一次加密,使用下面的代码记性加密。

8.加密后的内容如下。

9.将代码粘贴到靶场。

10.点击提交后可以看到成功指定了调取计算器的命令。

为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

[2024最新优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]


在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

[2024最新优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]
在这里插入图片描述

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

[2024最新优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]

反序列化漏洞详解
LJH1999ZN的博客
03-07 3万+
目录 一、什么是序列化和反序列化 二、什么是反序列化漏洞 三、序列化函数(serialize) 四、反序列化(unserialize) ​五、什么是PHP魔术方法 六、一些常见的魔术方法 七、魔术方法的利用 八、反序列化漏洞的利用 1.__destruct()函数 2.__wakeup() 3.toString() ​九、反序列化漏洞的防御 一、什么是序列化和反序列化 序列化是将对象转换为字符串以便存储传输的一种方式。而反序列化恰好就是序列化的逆过程,反序列化会将字符串.
java安全(五)java反序列化
weixin_45694388的博客
04-09 6545
序列化 在调用RMI时,发现接收发送数据都是反序列化数据. 例如JSON和XML等语言,在网络上传递信息,都会用到一些格式化数据,大多数处理方法中,JSON和XML支持的数据类型就是基本数据类型,整型、浮点型、字符串、布尔等,如果开发者希望在传输数据的时候直接传输一个对象,那么就不得不想办法扩展基础的JSON(XML)语法。比如,Jackson和Fastjson这类序列化库,在JSON(XML)的基础上进行改造,通过特定的语法来传递对象. RMI使用java等语言内置的序列化方法,将一个对象转化成一串二进制
6-java安全——java反序列化漏洞利用链
网络安全
07-01 4902
本篇将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞来学习如何构造利用链。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
Java反序列化漏洞实例详解
ranzi.
04-15 5161
在这里我们将其原有的代码数据更改成了一个访问http的代码数据,当对方在进行反序列化的时候,就会将我们更改后的代码数据进行执行,就会对http进行访问。5.至此,我们可以想到,如果将反序列化的目标文件的内容进行修改,修改成具有攻击性的代码,那么就可以实现一定的攻击性行为。2.执行序列化部分的代码,可以看到在指定路径下生成了指定的文件,文件内包含序列化的内容。执行反序列化部分的代码,可以看到其反序列化成功,并且将原始的内容进行了返回。6.来到目标路径下可以看到生成的文件,以及文件内的序列化内容。
Java 反序列化漏洞
qq_61553520的博客
05-24 5789
在各种编程语言的反序列化漏洞中,Java是最引人瞩目的,因为Java的开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式反应,进而影响到上层得操作系统。
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
java反序列化漏洞-验证.rar
06-25
Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于使用Java进行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程中,序列化和反序列化是常见的数据传输和持久化手段,允许对象的状态被转换为字节流,...
面向Java反序列化漏洞调用链搜索方法的研究.pdf
最新发布
09-25
本文针对Java反序列化漏洞调用链搜索中存在的“静态分析不完备,缺失对Java反射与动态代理分析”和“动静态混合分析低效”等问题,提出了一种结合静态污点分析与定向模糊测试的调用链验证及搜索方法,并实现了自动化...
Java反序列化漏洞详解(易懂)
weixin_63350467的博客
07-15 5483
这篇文章主要还是让大家简单理解为啥会出现这个漏洞,以及查找漏洞的流程。对于java的序列化,反射,类加载等知识点的详细内容,大家可以自己感兴趣找找。这里主要还是让和我一样的小白简单理解一下这个漏洞的原理。
Java反序列化漏洞
MRS_jianai的博客
02-19 871
Java反序列化源码复现
JAVA反序列化漏洞
KHOST的博客
05-11 753
Part 1 反序列化漏洞 JAVA反序列化漏洞到底是如何产生的? 1、由于很多站点或者RMI仓库等接口处存在java反序列化功能,于是攻击者可以通过构造特定的恶意对象序列化后的流,让目标反序列化,从而达到自己的恶意预期行为,包括命令执行,甚至 getshell 等等。 2、Apache Commons Collections是开源小组Apache研发的一个 Collections 收集器框架。这个框架中有一个InvokerTransformer.java接口,实现该接口的类可以...
Java 安全反序列化漏洞
hl1293348082的专栏
03-30 8307
1.序列化与反序列化: 序列化与反序列化对于 Java 程序员来说,应该不算陌生了,序列化与反序列化简单来说就是 Java 对象与数据之间的相互转化。 那么对于完全面向对象的 Java 语言来说为什么要有序列化机制? 实质上,序列化机制并不只局限于 Java 语言,序列化的本质是内存对象到数据流的一种转换,我们知道内存中的东西不具备持久性,但有些场景却需要将对象持久化保存或传输。例如缓存系统中存储了用户的 Session,如果缓存系统直接下线,带系统重启后用户就需要重新登陆,为了使缓存系统内存中的 S
Web安全--反序列化漏洞java篇)
bobo_milk的博客
11-29 3521
java反序列化参考
Java反序列化漏洞分析
qq_51453285的博客
06-10 1374
Java反序列化漏洞Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化和反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞的攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络反序列化攻击。
java反序列化漏洞分析
weixin_47623655的博客
03-30 2650
Java反序列化漏洞Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化和反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞的攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络反序列化攻击。
Java反序列化漏洞终极测试工具使用指南
标题中提到的“Java反序列化终极测试工具”应该是一款用于测试或识别Java应用中潜在反序列化漏洞的工具。在IT安全领域,这类工具通常被安全研究人员或测试人员使用,以评估应用程序的安全性,确保没有可被利用的安全...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值