"Java 反序列化"过程远程命令执行漏洞

最新推荐文章于 2024-10-17 22:17:39 发布
最新推荐文章于 2024-10-17 22:17:39 发布
阅读量93 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: java 运维 python
原文链接:https://my.oschina.net/artong999/blog/625789
本文介绍了Apache Commons Collections库中存在的一种远程命令执行漏洞,详细分析了漏洞原理及其潜在的危害。并针对WebSphere、WebLogic等受影响应用提出了临时缓解措施。

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

一、漏洞描述

 

国外 FoxGlove 安全研究团队于2015年11月06日在其博客上公开了一篇关于常见 Java 应用如何利用反序列化操作进行远程命令执行的文章。原博文所提到的 Java 应用都使用了 Apache Commons Collections 这个库,并且都存在一个序列化对象数据交互接口能够被访问到。针对每个应用,博文都提供了相应的分析和验证代码来说明 Java 应用存在远程命令执行的普遍性。

 

 

二、漏洞危害

 

机器上一旦有使用上述应用,即处于“裸奔”状态,黑客可随时利用此漏洞执行任意系统命令,完全控制机器,破坏或窃取机器上的数据。

 

三、已确认被成功利用的软件及系统  

 

使用了 Apache Commons Collections 这个库的应用理论上都受到漏洞影响。目前已被证实受影响的应用:

 

  • WebSphere

  • WebLogic

  • JBoss

  • Jenkins

  • OpenNMS

 

四、建议修复方案

 

官方尚未为此漏洞发布补丁,所以无法通过应用升级等方法修复漏洞。

临时解决方案:

1、使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类。

2、在不影响业务的情况下,临时删除掉项目里的 "org/apache/commons/collections/functors/InvokerTransformer.class" 文件。

3、把受漏洞影响的应用访问路径进行隐藏,如改成随机生成的字符串。

转载于:https://my.oschina.net/artong999/blog/625789

Java代码审计之远程命令执行漏洞(REC)详解
悦分享
01-23 750
在 Web 应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用 代码或命令执行函数去处理。比如当应用在调用一些能将字符串转成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。同样调用系统命令处理,将造成命令执行漏洞。RCE漏洞,可让攻击者直接向后台服务器远程注入操做系统命令或者代码,从而控制后台系统。很多人喜欢把代码执行漏洞称为命令执行漏洞,因为命令执行漏洞可以执行系统命令,而代码执行漏洞也会执行系统命令,这样就容易混淆。
漏洞复现】Jmeter RMI反序列化命令执行
Fly_鹏程万里
10-08 303
Apache JMeter是美国阿帕奇(Apache)软件基金会的一套使用Java语言编写的用于压力测试和性能测试的开源软件,其2.x版本和3.x版本中存在反序列化漏洞,攻击者可以利用该漏洞在目标服务器上执行任意命令。
java反序列化weblogic_WebLogic “Java 反序列化过程远程命令执行漏洞
weixin_30563489的博客
02-12 265
### 漏洞原理反序列化是指特定语言中将传递的对象序列数据重新恢复为实例对象的过程,而在这个过程中会执行一系列的字节流解析和对象实例操作用于恢复之前序列时的对象。在原博文所提到的那些 Java 应用里都有特定的接口用于传递序列对象数据,而在反序列化时并没有限制实例对象的类型,导致可以任意构造应用中已经包含的对象利用反序列化操作进行实例Java 在进行反序列化操作的时候会使用 Obje...
Java框架安全篇--log4j2远程代码执行漏洞
m0_63138919的博客
04-06 1749
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主师傅大佬勿喷,还希望大家指出错误
JAVA CGI 远程代码执行_Apache Tomcat 远程代码执行漏洞(CVE-2019-0232)漏洞复现
weixin_32018297的博客
02-27 354
一、 漏洞简介漏洞编号和级别CVE编号:CVE-2019-0232,危险级别:高危,CVSS分值:官方未评定。漏洞概述Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。4月11日,Apache官方发布通告称将在最新版本中修复一个远程代码执行漏洞(CVE-2019-023...
JAVA_RMI反序列化远程命令执行漏洞验证
qq_44828901的博客
12-29 5617
简单复现 JAVA RMI反序列化
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中存在反序列化远程代码执行漏洞.攻击者可利用该漏洞执行任意恶意命令.在Log4j 1.2.X中包含一个...
fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
薛定谔嘚喵博客
05-30 1343
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,的作用就是把java对象转换为json形式,也可 以用来将json转换为java对象。fastjson在解析json的过程中,支持使用autoType来实例某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
javaRMI反序列化漏洞验证工具
08-21
检测javaRMI反序列化漏洞
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
文件内包含内容如下: 1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro反序列化漏洞、暴力破解漏洞修改方法
java 2mi远程执行漏洞_Shiro RememberMe 1.2.4远程代码执行漏洞-详细分析
weixin_35799467的博客
02-27 454
本文首发于先知:0x01.漏洞复现环境配置测试需要一个vps ip提供rmi注册表服务,此时需要监听vps的1099端口,复现中以本机当作vps使用poc:importsysimportuuidimportbase64importsubprocessfrom Crypto.Cipher importAESdefencode_rememberme(command):popen= subprocess...
java web漏洞_常见 Java Web 容器通用远程命令执行漏洞
weixin_35782556的博客
02-15 584
### 漏洞概述国外 FoxgLove 安全团队公开了一篇关于常见 Java Web 容器如何利用反序操作进行远程命令执行的文章[1],并在文章中提供了相应的利用工具。文中 所涉及到的 Java Web 容器有:WebSphere,JBoss,Jenkins,WebLogic 和 OpenNMS。### 漏洞演示使用文章中所提供的 Payload 生成工具 ysoserial[2]和 PoC...
java反序列化漏洞 https服务_JBoss “Java 反序列化过程远程命令执行漏洞
weixin_34618077的博客
02-17 235
### 漏洞原理反序列化是指特定语言中将传递的对象序列数据重新恢复为实例对象的过程,而在这个过程中会执行一系列的字节流解析和对象实例操作用于恢复之前序列时的对象。在原博文所提到的那些 Java 应用里都有特定的接口用于传递序列对象数据,而在反序列化时并没有限制实例对象的类型,导致可以任意构造应用中已经包含的对象利用反序列化操作进行实例Java 在进行反序列化操作的时候会使用 Obje...
远程代码执行漏洞的探讨
最新发布
m0_57836225的博客
10-17 1160
远程代码执行漏洞是一种非常危险的安全漏洞,它能够让攻击者在远程控制目标系统,对用户的信息安全和财产安全构成严重威胁。在开发和维护应用程序时,我们必须高度重视远程代码执行漏洞的防范,采取有效的防御措施,确保应用程序的安全。同时,我们也要不断学习和了解新的安全漏洞和攻击方式,及时更新安全防护措施,提高应用程序的安全性。
远程代码执行漏洞的利用与防御
qq_61714717的博客
12-14 1786
RCE漏洞
远程命令执行漏洞原理,以及防护绕过方式
Scalzdp的专栏
11-21 2480
今天分享了远程执行指令的原理和如何进行远程执行指令漏洞的利用和绕过方法,远程命令执行漏洞危害性特别大,攻击者可以利用远程命令执行漏洞给运营团队带来如下一些危害:继承Web服务程序的权限去执行系统命令或读写文件、反弹shell、控制整个网站甚至服务器、进一步内网渗透。在防御的过程我们可以通过加强对用户输入的验证:比如限制输入内容,其次,采用最小权限原则,将程序运行权限限制在最低限度。
java rmi反序列化漏洞 简介
whatday的专栏
07-01 1113
目录 一、RMI简介 二、RMI示例 三、漏洞复现 四、漏洞分析 1、为什么这里的badAttributeValueExpException对象是通过反射构造,而不是直接声明? 2、为什么不直接将badAttributeValueExpException对象bind到RMI服务? 一、RMI简介 首先看一下RMI在wikipedia上的描述: Java远程方法调用,即Java RMI(Java Remote Method Invocation)是Java编程语言里,一种用于实现远程.
深入探讨Java反序列化及其Weblogic漏洞利用工具
Java反序列化漏洞是指在Java序列反序列化过程中,由于Java对象的序列机制可能存在缺陷,导致攻击者能够构造恶意的序列数据,使得应用程序在反序列化这些数据时执行任意代码,从而达到攻击目的。这一过程可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值