【SRC挖掘实录】反序列化漏洞篇

最新推荐文章于 2025-10-23 10:38:25 发布
原创 最新推荐文章于 2025-10-23 10:38:25 发布 · 1.7k 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #安全 #web安全

反序列化漏洞篇

提示:所有渗透测试均是在授权情况下进行,漏洞已修复,且已经对敏感信息进行了脱敏处理,本文内容仅供参考学习,切勿模仿。

文章目录

前言

在身份验证,文件读写,数据传输等功能处,在未对反序列化接口做访问控制,未对序列化数据做加密和签名,加密密钥使用硬编码(如Shiro 1.2.4),使用不安全的反序列化框架库(如Fastjson 1.2.24)或函数的情况下,由于序列化数据可被用户控制,攻击者可以精心构造恶意的序列化数据(执行特定代码或命令的数据)传递给应用程序,在应用程序反序列化对象时执行攻击者构造的恶意代码,达到攻击者的目的。

一、反序列化漏洞原理

首先我们需要了解一下序列化和反序列化的含义:
序列化是指Java对象转化为二进制内容,转换的原因就是为了便于网络传输和本地存储。
反序列化的含义是将相应的二进制转换为Java对象。
漏洞成因:当输入的反序列化的数据可以被用户控制,那么攻击者就可通过构造恶意输入,让反序列产生非预期对象,同时执行构造的恶意代码

常用函数:(php反序列化)围绕:serialize()和unserialize()这两个函数展开
常用的魔术函数:

 1、_construct()    #当一个对象创建时被调用
 2、_destruct()     #当一个对象被销毁时被调用
 3、_tostring()     #输出的时候自动调用
 4、_sleep()        #在对象在被序列化之前运行
 5、_wakeup      #将在序列化之后立即被调用

二、常见反序列化漏洞

1.shiro(550/721)反序列化漏洞

指纹信息:
请求包中,在Cookie信息中给 rememberMe变量赋任意值,收到返回包的 Set-Cookie 值存在 rememberMe=deleteMe 字段,说明目标使用了Shiro框架。
漏洞原理:
Shiro-550
Apache Shiro框架提供了RememberM

最低0.47元/天 解锁文章
如何挖掘反序列化漏洞
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
05-26 1756
文章目录代码审计payload 1payload 2 平时挖的或者看到的反序列例子都很曲折,或者很个例,无法作为一个科普文。偶然看到大佬KeePassX的Java反序列化漏洞从入门到关门,发现这是一个难得一见的反序列化挖掘的好例子,它很舒畅,一镜到底。 下面是以我的思路对代码进行白盒审计: 代码审计 看一下/index/*路由功能,发现cookie中的info字段存在发序列化漏洞 @GetMapping({"/"}) public String main() { return "re
序列化与反序列化漏洞详解
m0_55854679的博客
03-13 9785
文章目录小知识漏洞原理序列化反序列化函数解析序列化:serialize()函数反序列化 :unserialize()函数魔术方法pikachu靶场练习1靶场练习2总结 小知识 weblogic反序列化漏洞漏洞挖掘较难。 与变量覆盖一样,并不是说具体的漏洞,而是与它的具体代码有关。 === 【比较 数值相等、类型相等】 == 【比较,数值相等】 = 【赋值 赋予数值】 => 【键值分离】 -> 【类里面的方法调用或者传参】 漏洞原理 序列化: 游戏的
漏洞挖掘:一次反序列化漏洞学习
dzqxwzoe的博客
02-04 323
CVE-2017-3248 使用了RMI反序列化漏洞,也揭开了笔者分析RMI漏洞原理的新章。后面将不断分析Weblogic相关反序列化漏洞,以及系统总结整理RMI反序列化漏洞的基础知识和简单利用。
【2025】最新反序列化漏洞汇总,从零基础到精通,收藏这就够了!
最新发布
wly55690的博客
10-23 839
默认情况下JavaScriptSerializer不会使用类型解析器,所以它是一个安全的序列化处理类,漏洞的触发点也是在于初始化JavaScriptSerializer类的实例的时候是否创建了SimpleTypeResolver类,如果创建了,并且反序列化的Json数据在可控的情况下就可以触发反序列化漏洞,借图来说明调用链过程。程序中一般的对象的类型都是在编译期就确定下来的,而 Java 反射机制可以动态地创建对象并调用其属性,这样的对象的类型在编译期是未知的。
java反序列化漏洞挖掘
qq_45001989的博客
09-08 1372
java反序列化漏洞挖掘 1.漏洞触发场景 在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:   1)HTTP请求中的参数,cookies以及Parameters。   2)RMI协议,被广泛使用的RMI协议完全基于序列化   4)JMX 同样用于处理序列化对象   5)自定义协议 用来接收与发送原始的java对象 漏洞挖掘   (1)确定反序列化输入点     首先应找出readObject方法调用,在找到之后进行下一步的注入操作。一般可以通过以下方法进行查找:
漏洞分析】反序列化漏洞
kali_Ma的博客
02-21 1293
0x01 背景 2022年1月18日,ORACLE官方发布了2022年第一季度的补丁,其中涉及到多个关于Weblogic的漏洞。由于Weblogic的补丁很贵,一般人下载不到,所以一直在等待相关的细节信息。 从CVE官网找到的CVE-2022-21350漏洞是属于Weblogic的未授权访问和拒绝服务漏洞,CVSS评分也只有6.5,和这里的反序列化似乎不是一个漏洞。从漏洞的简要描述来看这个漏洞似乎也不是CVE-2022-21306。 本文章主要是针对该漏洞的详细分析和研究,以探讨安全技术为目的,对漏洞分析
网络安全反序列化漏洞分析
zxcvbnmasdflzl的博客
12-11 361
条件一、方法名需要长于 4 条件二、不是静态方法条件三、以 get 字符串开头,且第四个字符需要是大写字母条件四、方法不能有参数传条件五、继承自 Collection || Map || AtomicBoolean || AtomicInteger ||AtomicLong 条件六、此 getter 不能有 setter 方法(程序会先将目标类中所有的 setter 加入 fieldList 列表,因此可以通过读取 fieldList 列表来判断此类中的 getter 方法有没有 setter)
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Shiro反序列化漏洞检测工具
01-05
在Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的反序列化漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统进行非法操作。 反序列化漏洞通常出现在应用程序接收到...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
基础知识|反序列化命令执行漏洞
weixin_42282189的博客
11-04 3169
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
weblogic--反序列化漏洞测试Test
10-19
weblogic应用上的资源分享给大家,如涉及版本,请告知,谢谢。
反序列化漏洞介绍与挖掘指南
w2361734601的博客
04-12 1483
反序列化漏洞的本质是应用程序在反序列化不可信数据时未进行充分验证和过滤,导致攻击者通过构造恶意序列化数据触发代码执行或系统控制。​​序列化机制​​:将对象转换为可传输的字节流(如Java的、PHP的​​反序列化触发点​​:通过(Java)、(PHP)等方法还原对象。若输入数据可控且未过滤,攻击者可注入恶意逻辑。​​危害层级​​:​​远程代码执行(RCE)​​:如利用Java的或PHP的system()执行系统命令。​​敏感数据泄露​​:通过反序列化操作访问数据库凭证或配置文件。​。
【夯实Java基础05】为什么面试官总喜欢问StringBuffer 和 StringBuilder 的区别
武哥聊编程
12-05 1183
本文已收录至我的GitHub:Java开发宝典,欢迎大家给个Star:https://github.com/eson15/javaAll 我会持续更新,欢迎star! 微信搜索:武哥聊编程,关注这个Java菜鸟~ 文章目录1. 相同点2. 不同点作者info StringBuilder 和 StringBuffer 的问题已经是老生常谈了,但是为什么还有那么多面试官喜欢问这个问题呢?不知道,我觉得是面试官太low了……???????? 不过我也来把这个知识点给大家总结一下,先说说他们的相同点。 1. 相
[渗透测试] 反序列化漏洞
Da1NtY的博客
07-22 648
​序列化:将对象的转换为可以传输或存储的形式的过程。简单的来说,就是将一个抽象的对象转换成可以传输的字符串 ,以特定的形式在进行之间实现跨平台的传输。序列化大多以字节流、字符串、json串的形式来传输。将对象的某一状态写入永久或者临时存储区,在有需要的时候,就可以在存储区里读取对队形进行还原。
反序列化(Unserialize)漏洞详解
热门推荐
qq_49422880的博客
09-28 1万+
序列化和反序列化漏洞分析   序列化(serialize) 就将对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将当前的状态写入到临时或持久性的存储区 【将状态信息保存为字符串】。   反序列化(unserialize) 就是把序列化之后的字符串在转化为对象。 其实在序列化的过程中是没有任何的漏洞的,产生漏洞的主要的原因就是在反序列化的过程中,通过我们的恶意篡改会产生魔法函数绕过,字符逃逸,远程命令执行等漏洞,最早发现这些漏洞的大佬是真的牛。 一、简单的魔法函数 魔法函数 调用
java反序列化漏洞测试
lichengwei816的博客
12-09 264
java反序列化漏洞测试反序列化漏洞测试类正式测试 反序列化漏洞 package com.lcw.demo; import java.io.*; import java.util.HashMap; import java.util.Map; // 用到的commons.collections包 import com.alibaba.fastjson.JSON; import org.apache.commons.collections4.Transformer; import org.apache.com
Web安全 PHP反序列化漏洞的 测试.(可以 防止恶意用户利用漏洞
网络安全领域___专研者.
03-25 4808
PHP反序列化漏洞的 概括: 开发的程序员 没有对用户输入的序列化字符串做一个严格检测,导致恶意的用户可以控制反序列化的一个过程,因此导致XSS漏洞,代码执行,SQT注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。在进行反序列化的时候就有可能触发对象中的一些魔术方法。
Oracle WebLogic反序列化漏洞官方补丁指南
描述中提到的“weblogic反序列化漏洞官方解决方案”指的是Oracle针对WebLogic Server中的一个特定安全漏洞所发布的官方修复补丁。反序列化漏洞是一种常见的安全风险,它发生在应用程序反序列化数据时,攻击者通过...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值