Java反序列化漏洞CVE-2018-2628 分析

最新推荐文章于 2025-03-16 13:41:12 发布
最新推荐文章于 2025-03-16 13:41:12 发布
阅读量3.5k 收藏 4
点赞数 1
分类专栏: 漏洞相关 安卓逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u014715599/article/details/85256193
版权
本文详细分析了Java反序列化漏洞CVE-2018-2628,从概念到利用方法,包括数据包分析、漏洞位置和补丁、POC测试及EXP构造。通过 ysoserial 工具,展示了如何构造序列化payload,导致远程代码执行。最后,给出了官方补丁和手工修复建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、 前言

认识Java序列化与反序列化
定义:

序列化就是把对象的状态信息转换为字节序列(即可以存储或传输的形式)过程
  反序列化即逆过程,由字节流还原成对象
  注: 字节序是指多字节数据在计算机内存中存储或者网络传输时各字节的存储顺序。
且看接下来怎么一步步揭开反序列化漏洞利用的面纱的。(小白文)

二、CVE-2018-2628反序列化漏洞详情分析

在分析这个漏洞的时候,中间也看了好多前辈们写的有关Java反序列化漏洞分析的或详细或简略或比价有深度的文章。自己也琢磨了,虽然还没有动手写漏洞利用脚本,但是基本已经了解了反序列化漏洞从发现到利用的整个过程。其中也看了ysoserial-master通用利用工具的源码来加深理解。

(1) 反序列化漏洞利用方法

1.1为了更好的了解漏洞形成的原因,跟踪了脚本抓包分析以及反编译了源码来解开对java反序列化漏洞的疑惑

这部分是参考自别人针对这个漏洞的分析:
 来看看InboundMsgAbbrev中resolveProxyClass的实现,resolveProxyClass是处理rmi接口类型的,只判断了java.rmi.registry.Registry,其实随便找 一个rmi接口即可绕过。


protected Class<?> resolveProxyClass(String[] interfaces) throws IOException, ClassNotFoundException {
   String[] arr$ = interfaces;
   int len$ = interfaces.length;


   for(int i$ = 0; i$ < len$; &
最低0.47元/天 解锁文章
Weblogic反序列化漏洞原理分析漏洞复现(CVE-2018-2628CVE-2023-21839复现)
m0_54850303的博客
12-19 1081
WebLogic 存在远程代码执行漏洞CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。
weblogic反序列化漏洞CVE-2018-2628-批量检测脚本
weixin_34357436的博客
04-21 727
#coding=utf-8 import socket import time import re,os,sys,codecs type = 'utf-8' reload(sys) sys.setdefaultencoding(type) IpFile=file('./weblogic1.txt') #IP列表 fp= codecs.open("./weblogic1_...
CVE-2018-2628(使用 docker 搭建)
最新发布
hanjinming110的博客
03-16 472
介绍2018-2628
weblogic CVE-2018-2628反序列漏洞分析
weixin_45775145的博客
03-23 1756
搭建vulhub:https://blog.youkuaiyun.com/weixin_44023403/article/details/115262270 在CVE-2018-2628下运行:docker-compose up -d 安装CVE-2018-2628漏洞检测工具 git clone https://github.com/Lighird/CVE-2018-2628 将url.txt的内容改为ip:port。Ip为目标ip. vim url.txt 使用nmap进行扫描...
Java反序列化漏洞之——weblogic反序列化漏洞CVE-2018-2628
Stephen Wolf
12-10 1340
一、Java 序列化与反序列化 Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。 Java 反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。 序列化与反序列化是...
Weblogic反序列化漏洞原理分析漏洞复现(CVE-2018-2628/CVE-2023-21839复现)
热门推荐
网络空间安全学习
09-19 1万+
WebLogic 存在远程代码执行漏洞CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。
Weblogic反序列化漏洞(CVE-2018-2628/CVE-2023-21839)
qq_62987084的博客
10-16 1236
带你了解 Weblogic反序列化漏洞(CVE-2018-2628/CVE-2023-21839)
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"是针对这一特定漏洞的检测与防护解决方案。 首先,我们来理解什么是Java反序列化漏洞。在Java中,序列化是将对象的状态转化为...
反序列化漏洞】关于反序列化漏洞的杂谈1 -- Apache Dubbo 反序列化漏洞 CVE-2023-29234
blackmagic的博客
07-26 1513
反序列化漏洞也被称为"unserialization vulnerability"。它存在于那些允许将对象从字符串或二进制数据转换回原始对象的应用程序中。反序列化漏洞的问题在于,恶意用户可以构造特殊的序列化数据,通过应用程序的反序列化过程来执行恶意代码。这可以导致应用程序在反序列化过程中执行任意的代码,包括读取、修改或删除应用程序的敏感数据,或者在应用程序上下文中执行不受控制的操作。
JBossMQJMS 反序列化漏洞CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理反序列化的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
CVE-2018-2628漏洞复现
玄道的网安博客
06-07 4946
1. 漏洞简介 Weblogic Server中的RMI 通信使用T3协议在Weblogic Server和其它Java程序(客户端或者其它Weblogic Server实例)之间传输数据, 服务器实例会跟踪连接到应用程序的每个Java虚拟机(JVM)中, 并创建T3协议通信连接, 将流量传输到Java虚拟机. T3协议在开放WebLogic控制台端口的应用上默认开启. 攻击者可以通过T3协议发送恶意的的反序列化数据, 进行反序列化, 实现对存在漏洞的weblogic组件的远程代码执行攻击. 2. 影响
CVE-2018-2628-检测与getshell工具-含使用说明书.zip
12-03
CVE-2018-2628-检测与getshell工具-含使用说明书,属于WebLogic 反序列化远程代码执行漏洞
weblogic CVE-2018-2628--exp
01-20
weblogic CVE-2018-2628--exp
cve-2018-2628 exp getshell
05-21
cve-2018-2628 exp getshell
weblogicCVE-2018-2628批量检测工具
05-08
weblogic-CVE-2018-2628-反序列化漏洞批量验证脚本。优化多线程检测。具备漏洞发现功能。
Weblogic 反序列化命令执行漏洞CVE-2018-2628漏洞复现【vulhub靶场】
m0_55854679的博客
08-08 2051
在 WebLogic 里,攻击者利用其他rmi【远程方法调用】绕过weblogic黑名单限制,然后在将加载的内容利用readObject解析,从而造成反序列化远程代码执行该漏洞,该漏洞主要由于T3服务触发,所有开放weblogic控制台7001端口,默认会开启T3服务,攻击者发送构造好的T3协议数据,就可以获取目标服务器的权限。......
Weblogic T3协议反序列化漏洞CVE-2018-2628
Kevin's Blog
06-10 1万+
文章目录一、漏洞介绍1.1 漏洞详情1.2 基本原理1.3 影响版本二、环境搭建三、攻击过程3.1 信息收集3.2 漏洞探测3.3 攻击操作3.4 流量走向四、修复方法 一、漏洞介绍 1.1 漏洞详情   开放Weblogic控制台的7001端口,默认会开启T3协议服务,T3协议触发的Weblogic Server WLS Core Components中存在反序列化漏洞,攻击者可以发送构造的恶意T3协议数据,获取目标服务器权限。 1.2 基本原理   T3协议缺陷实现了Java虚拟机的远程方法调用(RM
CVE-2018-2628)Weblogic WLS Core Components 反序列化命令执行漏洞
weixin_45253622的博客
12-12 1862
漏洞简介 Oracle 20184月补丁中,修复了Weblogic Server WLS Core Components中出现的一个反序列化漏洞CVE-2018-2628),该漏洞通过t3协议触发,可导致未授权的用户在远程服务器执行任意命令。 漏洞原理 远程攻击者可利用该漏洞在未授权的情况下发送攻击数据,通过T3协议(EJB支持远程访问,且支持多种协议。这是Web Container和EJB Container的主要区别)在Weblogic Server中执行反序列化操作,利用RMI(远程方法调用) 机
Weblogic反序列化漏洞CVE-2018-2628
weixin_46411728的博客
11-15 4214
Weblogic反序列化漏洞CVE-2018-2628
ActiveMQ 反序列化漏洞CVE-2015-5254
12-28
### ActiveMQ 反序列化漏洞 CVE-2015-5254 的影响范围 Apache ActiveMQ 是一款由 Apache 软件基金会开发的开源消息中间件,广泛应用于分布式应用程序之间的通信。然而,在特定版本中存在严重的反序列化漏洞CVE-2015-5254),允许未经身份验证的远程攻击者通过特制的 Java 序列化数据包来执行任意命令。 受影响的具体版本为 5.x 版本至 5.13.0 之前的版本[^3]。这意味着如果部署了这些版本中的任何一个,默认情况下可能存在此安全隐患。 ### 修复方案 为了防止此类攻击的发生并保护系统免受潜在威胁: - **升级到最新稳定版**:最直接有效的解决办法是尽快将 ActiveMQ 升级到不受影响的安全版本,即至少更新至 5.13.0 或更高版本。 - **应用官方补丁**:对于无法立即进行全面升级的情况,可以考虑安装来自供应商发布的针对该问题的安全修补程序。 - **配置防火墙规则**:限制对 JMX 控制台和其他敏感端口的访问权限,仅允许可信 IP 地址连接。 ### 安全防护措施 除了上述提到的技术层面的操作外,还应采取一系列综合性的防御策略以增强整体安全性: - **最小特权原则**:确保运行 ActiveMQ 实例的服务账户具有尽可能少的权利和权限;关闭不必要的功能和服务组件。 - **定期审查日志文件**:监控异常活动迹象,及时发现可疑行为以便快速响应处理。 - **启用认证机制**:强制要求所有管理接口都经过强效的身份验证过程,避免使用弱密码组合,并建议采用多因素认证方式提高准入门槛。 - **隔离生产环境与测试环境**:保持两者之间严格的网络分隔状态,减少因误操作而导致的风险扩散可能性。 ```python # 示例代码展示如何设置基本的身份验证 from activemq import Broker, AuthenticationPlugin broker = Broker() auth_plugin = AuthenticationPlugin(username="admin", password="strong_password") broker.add_plugin(auth_plugin) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值