Commons-Collections1反序列化:学习与源代码实例

Java反序列化漏洞:防范Commons-Collections1
最新推荐文章于 2025-11-24 16:52:22 发布
最新推荐文章于 2025-11-24 16:52:22 发布
阅读量125 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 学习 编程学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/database_bug768/article/details/133286297
本文探讨了Java反序列化漏洞,特别是Commons-Collections1漏洞,解释了其工作原理和潜在危害。建议通过更新库、输入验证、限制反序列化白名单和自定义反序列化过程来防范。并提供了一个自定义反序列化方法的代码示例。

在软件开发过程中,安全性一直是一个重要的关注点。然而,有时候由于缺乏必要的防护措施,恶意用户可以利用应用程序的漏洞进行攻击。其中一种常见的攻击方式是利用Java反序列化漏洞。在本文中,我们将学习如何防范和处理Commons-Collections1反序列化漏洞,并提供相应的源代码实例。

什么是反序列化漏洞?
反序列化漏洞是指在将序列化对象还原为Java对象的过程中,恶意用户可以通过构造恶意的序列化数据来执行远程代码。这种漏洞可能导致应用程序的机密信息泄露、远程代码执行以及拒绝服务等安全问题。

Commons-Collections1漏洞是一个广泛被利用的反序列化漏洞之一。它存在于Apache Commons Collections库的旧版本中。攻击者可以通过构造恶意的序列化数据来触发该漏洞,并在目标服务器上执行任意代码。

防范Commons-Collections1反序列化漏洞
要防范Commons-Collections1反序列化漏洞,我们可以采取以下措施:

  1. 更新Apache Commons Collections库:确保您使用的是最新版本的Apache Commons Collections库,因为这些版本已修复了该漏洞。

  2. 输入验证和过滤:在接收到用户输入时,始终进行严格的输入验证和过滤。确保只接受符合预期格式和类型的输入数据。

  3. 序列化对象的白名单:在反序列化过程中,限制可被反序列化的类和对象。创建一个白名单,只允许反序列化来自信任来源的特定类。

  4. 自定义反序列化过程:考虑自定义反序列化过程,以便有更大的控制权。这可以通过实现readObje

了解本专栏 订阅专栏 解锁全文
Apache Commons Collection3.2.1反序列化分析(CC1)
st3pby的博客
01-29 2751
是Apache软件基金会的一个开源项目,它提供了一组可复用的数据结构和算法的实现,旨在扩展和增强Java集合框架,以便更好地满足不同类型应用的需求。该项目包含了多种不同类型的集合类、迭代器、队列、堆栈、映射、列表、集等数据结构实现,以及许多实用程序类和算法实现。它的代码质量较高,被广泛应用于Java应用程序开发中。Commons Collections 3.1 版本的利用链衍生出多个版本的利用方式,但其核心部分是相同的,不同之处在于中间过程的构造。
Commons-Collections1反序列化
m0_62770485的博客
12-05 824
JAVA安全-Commons-Collections1反序列化
Java反序列化Commons-Collections-CC1
永远都没有了
04-15 1578
CC1链(TransformedMap)java反序列化笔记
Commons-Collections-CC1链小白基础分析学习
鸣蜩十四的博客
05-22 2149
Apache Commons工具包中有⼀个组件叫做 Apache Commons Collections ,其封装了Java 的 Collection(集合) 相关类对象,它提供了很多强有⼒的数据结构类型并且实现了各种集合工具类,Commons Collections被⼴泛应⽤于各种Java应⽤的开发,而正是因为在大量web应⽤程序中这些类的实现以及⽅法的调用,导致了反序列化漏洞的普遍性和严重性
Java反序列化-Commons Collections1详解
m0_60442621的博客
11-12 871
Commons Collections1利用链分析,最详细小白也能看懂
Apache Commons Collections 反序列化漏洞
WYJAI的博客
11-03 1529
Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库,它提供了很多强大的数据结构类型和实现了各种集合工具 类。作为Apache开放项目的重要组件,Commons Collections被广泛的各种Java应用的开发。可以在Apache官网下载CC的jar文件和源代码,用于代码审计。Java集合框架:称为Collection,是Java中存在的一系列操作List、Set和Map的类的集合。
Apache Commons Collections反序列化漏洞分析复现
smellycat000的专栏
11-30 3923
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 漏洞分析存在安全缺陷的版本:Apache Commons Collections3.2.1以下,...
JAVA 反序列化之 Apache Commons Collections 反序列化漏洞分析
辛勤搬砖的门卫的专栏
03-01 2372
Apache Commons Collections 反序列化漏洞研究
反序列化-Shiro-550详细分析
鸣蜩十四的博客
07-18 2179
Shiro-550漏洞是攻击者直接就可以用密钥实现框架加密过程,在Cookie字段写入想要服务端执行的恶意代码,最后服务端在对cookie进行解密的时候(反序列化后)就会执行恶意代码
commons-collections4实战宝典】:从漏洞防御到性能优化的全攻略
![commons-collections4-4.1-bin.zip]...首先概述了commons-collections4的基本使用和核心组件,包括集合操作、转换器、序列化工具以及设计模式的应用。接着深入探讨了c
commons-collections4-4.0
07-01
10. **序列化**:库中的集合类大多实现了Serializable接口,支持序列化和反序列化。 了解和掌握Apache Commons Collections库,将有助于提升Java开发者在处理集合操作时的效率和代码质量,同时也能够更好地理解和...
基于学习的人工智能(1)为什么学习
致力于大数据+AI 的应用创新。
11-24 180
学习是人类最重要的认知活动之一,贯穿我们的一生。出生后,我们无时无刻不在学习:从父母那里学说话,自己尝试走路,从小伙伴那里学会折纸飞机,从老师那里学到语文、数学等各种知识。研究人员始终将光源和风扇放在同一侧,经由学习,玉米幼苗逐渐学会了“有风的地方就会有光”的规律。之后,研究人员移去光源,并改变风扇方向,玉米幼苗依然按照所学知识,向风扇方向生长。1959 年,美国计算机学家亚瑟·塞缪尔设计了一款可以自我学习的跳棋程序,并将这一新方法称为“机器学习”,从而开启了机器自我学习的道路。
PyTorch 入门到精通学习计划
记录成长‌,知识沉淀,连接同行‌
11-24 435
摘要:这份6-12个月的PyTorch学习计划针对具有10年中间件经验的架构师设计,分为四个阶段:基础概念(1-2个月)、模型构建(2-3个月)、高级部署(2-3个月)和项目实战(2-4个月)。计划强调将中间件技能(如分布式系统、性能优化)迁移到深度学习领域,重点学习分布式训练、模型部署和高并发处理。推荐结合官方文档、在线课程和实践项目,并注重将中间件经验应用于数据管道优化、系统稳定性设计等方面。计划建议保持实践优先,持续关注PyTorch最新发展。(149字)
WGL波形生成语言—新手入门学习(例子篇1
江湖小浪花的博客
11-24 46
本文解析了一个WGL波形文件实例,该文件用于芯片测试。文件头包含MD5校验码、生成工具版本等信息。波形定义了DIG_TOP模块的测试信号,包括输入、输出和双向信号,如SFC接口、QSPI总线、I²C总线和PWM测试信号。文件详细描述了每个信号在41.666ns周期内的状态变化,使用特定符号表示高低电平、稳定状态等。双向信号同时包含输入驱动和输出采样阶段,体现了边界扫描测试的特点。该文件由AutoJTAG工具生成,配合BSDL文件使用,用于验证芯片功能。
学习笔记——基础hash思想及其简单C++实现
2502_91790308的博客
11-23 680
哈希表是一种查找时间复杂度为O(1)的高效数据结构,通过哈希函数将数据映射到固定位置实现快速查询。本文介绍了哈希表的核心概念,包括哈希函数(重点讲解除留余数法)、负载因子和哈希冲突。针对冲突问题,详细阐述了开放定址法(含线性探测、二次探测)和链地址法两种解决方案。文章还通过计数排序示例说明哈希思想,并探讨了实现中的关键问题,如扩容策略、处理非整数类型键值的方法等。哈希表性能优异但需合理设计,否则可能退化为O(n)复杂度。
人工智能在教育领域的应用:开启个性化学习新篇章
2501_94058529的博客
11-21 1105
传统的教学方式开始逐渐无法满足个体化学习的需求,而AI技术则为教育提供了新的解决方案,帮助教师和学生实现更加高效、个性化的教学体验。在传统的课堂教学中,教师通常采用一种“标准化”的教学方法,尽管可以满足大多数学生的需求,但却忽视了学生的个性化差异。每个学生的学习进度、兴趣爱好、认知水平和学习方式各不相同,而人工智能技术能够通过对学生数据的分析,为每个学生量身定制个性化的学习路径和内容。AI在其中的作用是,通过智能算法分析学生的学习行为,实时调整学习内容和情境,确保学习过程的高效性和互动性。
C语言内存学习
最新发布
ysazt的博客
11-24 364
c语言中变量得内存存放及生命周期
从零开始学习 TOML,配置文件的新选择
赵士杰——成功并非一蹴而就,而是在持之以恒的努力中逐渐实现。
11-20 1126
TOML 的语法设计遵循 “直观、一致、无歧义” 的原则,所有规则都围绕 “让人类易读、机器易解析” 展开,在编写 TOML 文件时,需要遵守以下基本的语法规范。
法律学习资料合集民事刑事行政法律实务经济社会商事诉讼法律课程+电子书籍
qq_21885317的博客
11-23 227
这是一套法律学习资料合集,体积庞大而且内容丰富,视频教程+文档资料,涵盖了法律相关的几乎所有方面,包括了民事法律、刑事法律、商事法律、行政法律、经济法律、社会法律、诉讼法律等实用法律资料,其下共有六个物理文件夹:法律课程合集+法律电子书大全+法律资料汇总+法律实务操作+法律热门平台+法律综合QITA。本套资料体积很大,文件目录数量众多,截图展示无法实现,已经授权百度网盘,资料所见即为所得,在线查看资料目录。
┌──(root㉿kali)-[~/JavaDeserH2HC] └─# javac -encoding UTF-8 -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java 使用这个命令以后,生成了class文件但是没有生成ser二进制文件。这是为什么呢?
07-10
在 Java 反序列化漏洞测试中,`javac` 命令仅负责将 `.java` 源代码文件编译为 `.class` 字节码文件,并不会自动生成 `.ser` 序列化文件。`.ser` 文件通常是由 Java 程序在运行时通过 `ObjectOutputStream` 将对象序列化后写入磁盘的产物,而不是由编译器直接生成[^1]。 若用户期望生成 `.ser` 文件,需要编写一个额外的 Java 程序来创建目标类的实例,并将其序列化输出至文件。例如,在反序列化测试中,通常会构造一个包含恶意链的对象(如使用 Commons Collections 构造利用链),然后通过如下方式将其写入 `.ser` 文件: ```java import java.io.FileOutputStream; import java.io.ObjectOutputStream; public class GeneratePayload { public static void main(String[] args) throws Exception { // 此处应替换为你实际构造的反序列化利用链对象 Object payload = constructPayload(); try (FileOutputStream fos = new FileOutputStream("payload.ser"); ObjectOutputStream oos = new ObjectOutputStream(fos)) { oos.writeObject(payload); } } private static Object constructPayload() { // 返回构造好的利用链对象,例如基于 Commons Collections 的 Transformer 链 return null; // 示例中需替换为真实构造的对象 } } ``` 该程序执行后将在当前目录下生成名为 `payload.ser` 的二进制序列化文件,可用于后续的反序列化攻击测试。 需要注意的是,反序列化链的构造过程较为复杂,通常依赖特定库(如 Apache Commons Collections)并涉及反射机制动态代理等高级技术[^1]。若未正确构建或缺少必要的依赖(如 `commons-collections-3.2.1.jar`),则可能导致无法成功生成有效的 `.ser` 文件。 此外,确保在运行该程序时将相关依赖加入类路径,例如: ```bash java -cp .:commons-collections-3.2.1.jar GeneratePayload ``` 这样可保证程序能够访问到所需的类库以完成对象的构造和序列化操作[^1]。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值