Java反序列化漏洞整理

最新推荐文章于 2025-07-08 20:07:39 发布
转载 最新推荐文章于 2025-07-08 20:07:39 发布 · 308 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/AtesetEnginner/p/11043531.html
文章标签:

#java

此博客为转载内容,转载自https://www.cnblogs.com/AtesetEnginner/p/11043531.html ,涉及Java相关知识。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

反序列化 CVE-2019-12086

转载于:https://www.cnblogs.com/AtesetEnginner/p/11043531.html

java反序列化漏洞(入门)
xiaoheizi的博客
07-02 890
http参数,cookie,sesion,存储方式可能是base64(rO0),压缩后的base64(H4s),MII等Servlets http,Sockets,Session管理器,包含的协议就包括:JMX,RMI,JMS,JND1等(\xac\Xed) xm lXstream,XmldEcoder等(http Body:Content-type: application/xml)json(jackson,fastjson)http请求中包含。运行反序列化代码,可以看到序列化的数据被还原了。
WebGoat JAVA反序列化漏洞分析复现_webgoat反序列化,苦熬一个月
2401_83974064的博客
04-18 492
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
搭建一个java反序列化靶场
热门推荐
leeezp的博客
09-09 32万+
java反序列化漏洞研究需要。搭建一个java反序列化靶场
反序列化(javaseclab靶场)
最新发布
npc88888的博客
07-08 124
这里一开始就遇到一个问题记录一下,因为我靶场是docker搭起来的,原有的payload执行起来就有问题。后来使用了powershell自带的编码命令编译了才执行成功。
Java method相应知识点_JAVA反序列化漏洞知识点整理
weixin_39658726的博客
02-24 166
jenkins反序列漏洞跟过一遍之后,虽说梳理清楚了漏洞触发的大体流程,但是对于JAVA反序列化漏洞导致代码执行的原理仍旧不懂,因此有必要整理JAVA反序列化漏洞相关的知识点。JAVA反序列化漏洞反序列化漏洞的本质是反序列化机制打破了数据和对象的边界,导致攻击者注入的恶意序列化数据在反序列化过程中被还原成对象,控制了对象就可能在目标系统上面执行攻击代码,而不可信的输入和未检测反序列化对象的安全性是...
Java反序列化漏洞从入门到深入(转载)
07-21 1100
前言 学习本系列文章需要的Java基础: 了解Java基础语法及结构(菜鸟教程) 了解Java面向对象编程思想(快速理解请上知乎读故事,深入钻研建议买本《疯狂Java讲义》另外有一个刘意老师的教学视频也可以了解一下,其中关于面向对象思想的介绍比较详细。链接:https://pan.baidu.com/s/1kUGb3D1#list/path=%2F&pare...
Java反序列化漏洞入门
why811的博客
08-24 203
Java描述的是一个世界,程序运行开始时,这个世界也开始运作,但世界中的对象不是一成不变的,它的属性会随着程序的运行而改变。但很多情况下,我们需要保存某一刻某个对象的信息,来进行一些操作。比如利用反序列化将程序运行的对象状态以二进制形式储存与文件系统中,然后可以在另一个程序中对序列化后的对象状态数据进行反序列化恢复对象。可以有效地实现多平台之间的通信、对象持久化存储。一个类对象想要序列化成功,必须满足两个条件:该类必须实现 java.io.Serlalizable 接口。
JAVA反序列化漏洞知识点整理
01-20
jenkins反序列漏洞跟过一遍之后,虽说梳理清楚了漏洞触发的大体流程,但是对于JAVA反序列化漏洞导致代码执行的原理仍旧不懂,因此有必要整理JAVA反序列化漏洞相关的知识点。  JAVA反序列化漏洞  反序列化漏洞的...
WebGoat JAVA反序列化漏洞分析复现_webgoat反序列化
2401_84297560的博客
04-28 704
该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。并在13行进行了读取序列化内容,之后在14行进行判断是否为vulnerableTaskHolder对象跟进org.dummy.insecure.framework.VulnerableTaskHolder对象之后在59行处执行了exec。参数为.taskAction,所以直接往上跟该变量初始化发现了使用有参构造进行了赋值(因没动态分析,没搞懂t变量怎么赋值)0x03 利用。
java反序列化漏洞修复方案,看完必懂
m0_56662269的博客
06-27 649
数据库 1. MySQL 索引使用有哪些注意事项呢? 可以从三个维度回答这个问题:索引哪些情况会失效,索引不适合哪些场景,索引规则 索引哪些情况会失效 查询条件包含or,可能导致索引失效 如何字段类型是字符串,where时一定用引号括起来,否则索引失效 like通配符可能导致索引失效。 联合索引,查询时的条件列不是联合索引中的第一个列,索引失效。 在索引列上使用mysql的内置函数,索引失效。 对索引列运算(如,+、-、*、/),索引失效。 索引字段上使用(!= 或者 < >,not in)时
网络安全最新WebGoat JAVA反序列化漏洞分析复现_webgoat反序列化,全网首发
2401_84545213的博客
05-10 348
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Java反序列化漏洞利用工具(WebLogic&Jboss)
01-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Java反序列化漏洞—基础
洛柒尘的博客
03-15 501
前言 为了更接近目标(红队),需要先将常规打点的基础打好。虽说PHP很流行,但市场需求、语言特性和培训机构,工作中大多以Java为主,因此漏洞也是Java最多,所以学习JAVA漏洞非常有必要。 反序列化学习 最近目标:掌握Fastjson漏洞。 序列化过程 PHP class test{ //类 $flag = "flag{111}"; } $test = new test; //实例化 $data_s
从零开始的JAVA反序列化漏洞学习(一)
qq_31028197的博客
12-04 3326
前言: 大概是决定复现CVE,第一个拿cve-2016-4437试试,但是之前没接触过JAVA,在历经磨难安装好IDEA maven和依赖环境,跟着各位师傅的教程调试源代码发现大佬们的教程都是跟到 可以控制传入readObject()的反序列化就没了,再细查便是什么CC4,CC3.1之类看上去很深奥的东西。深感基础不足,从头开始学JAVA的各种机制,如有疏漏不足请在评论中指出。 利用Java反射执行代码 Java反序列化是离不开Java的反射机制的,反射机制离不开Object类和Class类,关于反射已经
java反序列化漏洞基础
02-22 758
近年来反序列化漏洞可谓被大家熟知,尤其是的在JAVA 程序中发现了大量的反序列化漏洞,这种漏洞危害极大,可以直接造成RCE,获取到权限,本人之前对于这个漏洞一致认识很浅薄,甚至对于利用方式和工具都不太清楚,本文是对java语言基础的序列化与反序列化进行学习。
Java反序列化漏洞从入门到深入(转载,如有侵权联系删除)
ZzSsTteng的博客
09-11 656
前言 学习本系列文章需要的Java基础: 了解Java基础语法及结构(菜鸟教程) 了解Java面向对象编程思想(快速理解请上知乎读故事,深入钻研建议买本《疯狂Java讲义》另外有一个刘意老师的教学视频也可以了解一下,其中关于面向对象思想的介绍比较详细。链接:https://pan.baidu.com/s/1kUGb3D1#list/path=%2F&parentPath=%2FJava%E7%B1%BB 密码:kk0x) 基本的Eclipse使用(自行百度) 其实只要
一文掌握Java反序列化漏洞,从零基础到精通,收藏这篇就够了!
yy1715713348的博客
04-09 1002
如果你自定义了一个。
搭建一个java反序列化靶场(1)
2401_84972648的博客
05-15 992
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Web漏洞 | JAVA反序列化漏洞,从零基础到精通,收藏这篇就够了!
bdfcfff77fa的博客
03-11 993
反序列化漏洞序列化和反序列化反序列化漏洞payloadJAVA Web反序列化漏洞的挖掘和利用Part 1反序列化漏洞JAVA反序列化漏洞到底是如何产生的?1、由于很多站点或者RMI仓库等接口处存在java反序列化功能,于是攻击者可以通过构造特定的恶意对象序列化后的流,让目标反序列化,从而达到自己的恶意预期行为,包括命令执行,甚至 getshell 等等。2、Apache Commons Collections是开源小组Apache研发的一个 Collections 收集器框架。
反序列化漏洞
03-11
<think>好的,我现在需要详细分析用户的问题,关于反序列化漏洞的原理及防御方法。用户提到了PHP和Java反序列化漏洞,还引用了四篇资料,我需要结合这些资料来构建答案。 首先,理解反序列化漏洞的基本概念。根据引用[1],PHP反序列化漏洞是因为反序列化过程中执行了恶意代码。而引用[2]提到,关键在于攻击者构造恶意序列化字符串,触发魔术方法或执行非法操作。引用[3]说明Java反序列化使用ObjectInputStream的readObject方法,这可能存在类似风险。引用[4]则概括了防御方式,作者有实战经验,可能提供有效方法。 接下来,要分步骤解释原理。需要说明序列化和反序列化的过程,以及漏洞如何产生。比如在PHP中,当反序列化一个对象时,会自动调用__wakeup()或__destruct()等方法,如果这些方法中有危险操作,攻击者可能利用。Java中类似,比如重写readObject方法执行代码。需要结合引用中的例子,如引用[2]提到的魔术方法,引用[3]的Java反序列化机制。 然后,防御方法部分,需要整理各个资料的建议。引用[1]提到输入验证、禁用危险函数、最小化权限等。引用[4]可能补充使用安全库、加密签名、日志监控等。需要将这些点系统化,比如输入检查、安全配置、代码审计等。 还要确保回答结构清晰,分点说明,符合用户要求的层次结构。同时,生成的相关问题需要围绕原理、防御、具体语言(PHP/Java)、实际案例等方面,帮助用户进一步学习。 需要验证LaTeX格式是否正确,虽然这个问题可能不涉及数学公式,但如果有变量或代码,需正确使用格式。例如,类名或方法名如__wakeup()可能需要代码块标记,但根据用户示例,代码块用三个反引号包围,所以正确应用。 最后,确保引用标识正确添加到每个引用观点的末尾,例如[^1]、[^2]等,并且自然融入内容中,不打断阅读流程。</think>### 反序列化漏洞原理及防御方法 #### 一、反序列化漏洞原理 1. **序列化与反序列化定义** - **序列化**:将对象转换为可存储或传输的字节序列,例如PHP的`serialize()`或Java的`ObjectOutputStream`。 - **反序列化**:将字节序列恢复为对象,例如PHP的`unserialize()`或Java的`ObjectInputStream.readObject()`[^3][^4]。 2. **漏洞触发条件** - **危险魔术方法(PHP)**:反序列化时会自动调用`__wakeup()`、`__destruct()`等方法。若这些方法包含敏感操作(如文件操作、命令执行),攻击者可构造恶意数据触发它们[^1]。 - **Java反序列化链**:通过重写`readObject()`或利用第三方库(如Apache Commons Collections)的漏洞方法链,执行任意代码[^3]。 - **未验证输入**:直接反序列化用户输入的未经验证数据,导致恶意载荷被执行。 3. **攻击示例(PHP)** ```php class Example { public $data; function __destruct() { system($this->data); // 攻击者可控制$data执行命令 } } // 恶意序列化数据:{"data": "rm -rf /"} ``` 攻击者提交构造的序列化字符串后,反序列化会触发`__destruct()`并执行系统命令。 --- #### 二、防御方法 1. **输入验证与过滤** - 避免直接反序列化用户输入,若必须处理,需严格校验数据来源及内容格式。 2. **禁用危险方法** - 在PHP中限制或替换包含敏感操作的魔术方法(如`__wakeup()`)。 - 在Java中禁止使用存在已知漏洞的库(如旧版Apache Commons Collections)。 3. **最小化权限** 运行反序列化操作的进程应限制权限,避免以root或管理员身份执行。 4. **使用安全替代方案** - 替换原生反序列化方法,例如采用JSON或XML等更安全的格式传输数据[^4]。 - 在Java中使用`SerializationKiller`等工具拦截恶意载荷。 5. **签名与加密** 对序列化数据添加数字签名(如HMAC),确保数据未被篡改。 6. **日志与监控** 记录反序列化操作日志,监控异常行为(如频繁反序列化失败)。 --- #### 三、案例分析 - **PHP反序列化漏洞**:攻击者通过构造包含`system()`命令的序列化字符串,触发`__destruct()`删除服务器文件[^2]。 - **Java反序列化漏洞(Log4j)**:利用反序列化链加载远程恶意类,导致远程代码执行(RCE)。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值