本文详细介绍了Java Remote Method Invocation (RMI) Registry的反序列化漏洞,该漏洞存在于JDK 8u111及之前版本。通过伪造Registry接收的序列化数据,攻击者可以触发远程bind过程中的利用链,利用的是commons-collections:3.2.1库。文章提供了漏洞复现的步骤和影响范围,帮助读者理解并防范此类安全问题。
Java RMI Registry 反序列化漏洞(=jdk8u111)_黑白的博客-优快云博客_java rmi漏洞复现声明好好学习,天天向上漏洞描述Java Remote Method Invocation 用于在Java中进行远程调用。RMI存在远程bind的功能(虽然大多数情况不允许远程bind),在bind过程中,伪造Registry接收到的序列化数据(实现了Remote接口或动态代理了实现了Remote接口的对象),使Registry在对数据进行反序列化时触发相应的利用链(环境用的是commons-collections:3.2.1).影响范围<=jdk8u111复现过程使用vulhub/ap
https://blog.youkuaiyun.com/zy15667076526/article/details/111414578Java RMI Registry 反序列化漏洞 - 302
https://827607240.github.io/2020/07/15/Java-RMI-Registry/
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
