java httpinvoker漏洞_Java反序列化漏洞学习
序列化是Java提供的一种对象持久化保存的技术。常规对象在程序结束后会被回收,如果想把对象持久保存方便下次使用,需要序列化和反序列化。
序列化有两个前提:
类必须实现java.io.serializable接口
类所有字段都必须是可序列化的
反序列化漏洞利用原理
1. 利用重写ObjectInputStream的readObject
重写ObjectInputStream的readObject方法时,可执行恶意代码。定义一个类,并实现serializable接口:
public class User implementsSerializable {publicString name;public intage;publicString getUserInfo(){return "user name: "+this.name +" age: "+this.age;
}
}
View Code
对这个类进行序列化和反序列化(将序列化对象保存在user.txt中):
public classSerializeDemo {public static void main(String[] args) throwsIOException, ClassNotFoundException {
User user= newUser();
user.name= "路人";
user.age= 25;try{
FileOutputStream fileOut= new FileOutputStream("user.txt");
ObjectOutputStream out= newObjectOutputStream(fileOut);
out.writeObject(user);
out.close();
fileOut.close();
System.out.println("Serialized done");
}catch(IOException e) {
e.printStackTrace();
}
User user_out= null;
FileInputStream fileInput= new FileInputStream("user.txt");
ObjectInputStream in= newObjectInputStream(fileInput);
user_out=(User) in.readObject();
in.close();
fileInput.close();
System.out.println(user_out.getUserInfo());
}
}
View Code
执行结果:
user类重写readObject方法,并将恶意代码写在重写方法中:
private void readObject(ObjectInputStream in) throwsIOException, ClassNotFoundException {
in.defaultReadObject();
Runtime.getRuntime().exec("touch hello.txt");
}
View Code
执行序列化和反序列化之后,恶意代码执行成功:
2. 利用反射
反射可以越过静态检查和类型约束,在运行期间访问和修改对象的属性和状态。通过反射机制执行恶意代码。InvokerTransformer可以通过调用Java的反射机制来调用任意函数
public classReflectDemo {public static voidmain(String[] args) {
InvokerTransformer it= newInvokerTransformer("exec",new Class[]{String.class},new Object[]{"open /Applications/Calculator.app/"});
it.transform(java.lang.Runtime.getRuntime());
}
}
View Code
恶意代码执行成功:
但是在实际应用中,我们是不能直接把恶意代码写在对方的readObject中,或者把Runtime直接从外部传进去的,所以需要构造反射链payload来实现反序列化漏洞的利用。具体利用方式参考这篇文章:http://www.mi1k7ea.com/2019/02/06/Java%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E/
此外,还有一个叫做ysoserial的开源工具,集合了各种java反序列化payload,下载地址:
上一篇的漏洞利用库jmet-0.1.0-all.jar就是使用ysoserial生成的Payload。
关于java反序列化漏洞,咱目前只能理解到这个地步了(java水平有限 ..>_<..>
java httpinvoker漏洞_Java反序列化漏洞学习相关推荐
- rmi 反序列化漏洞_java反序列化漏洞—被低估的破坏之王
[IT168 资讯]IT168 资讯]近日,2015年最为被低估的,具有巨大破坏力的漏洞浮出水面.在FoxGlove Security安全团队的@breenmachine 发布一篇博客中介绍了该漏洞在 ...
- java 漏洞挖掘_Java反序列化漏洞的挖掘、攻击与防御
一.Java反序列化漏洞的挖掘 1.黑盒流量分析: 在Java反序列化传送的包中,一般有两种传送方式,在TCP报文中,一般二进制流方式传输,在HTTP报文中,则大多以base64传输.因而在流量中有一 ...
- 个php反序列化漏洞,PHP反序列化漏洞学习(一)
前言:PHP反序列化也是web安全中常见的一种漏洞,这次就先来大致了解一下PHP反序列化漏洞的基础知识. 一.PHP序列化和反序列化 在学习PHP反序列化漏洞时,先来了解一下基础的知识. (一)PHP ...
- java反序列化漏洞 poc_Java反序列化漏洞详解
Java反序列化漏洞从爆出到现在快2个月了,已有白帽子实现了jenkins,weblogic,jboss等的代码执行利用工具.本文对于Java反序列化的漏洞简述后,并对于Java反序列化的Poc进行详 ...
- php+反序列化代码执行漏洞,PHP反序列化漏洞
0x001 漏洞产生原理 在反序列化的过程中自动触发了某些魔术方法.未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致XSS.代码执行.文件写入.文件读取等不可控后果. 0x ...
- python pickle反序列化漏洞_Python反序列化漏洞
1.什么是序列化 和php的序列化一样,是把string,字典,数组,类这些数据当作字节储存 2.pickle pickle.dumps()和pickle.loads() 分别是序列化和反序列化 pi ...
- php 反序列化漏洞,PHP反序列化漏洞详解
最近和小伙伴们一起研究了下PHP反序列化漏洞,突发奇想,利用反序列化漏洞写一个一句话木马效果应该蛮不错的.本文主要和大家分享PHP反序列化漏洞详解,希望能帮助到大家. 0x01 PHP反序 说起PHP ...
- WEB漏洞——PHP反序列化漏洞
一.原理 序列化:将对象转化为字节流,字节流中包括这个对象的数据和信息. 反序列化:将字节流还原成对象. 序列化和反序列化的出现便于数据的存储与传输. 二进制序列化保持类型保真度,这对于在应用程序的不 ...
- rmi反序列化导致rce漏洞修复_JAVA反序列化漏洞解决办法
一.漏洞描述: 近期,反序列化任意代码执行漏洞持续发酵,越来越多的系统被爆出存在此漏洞.Apache Commons工具集广泛应用于JAVA技术平台,存在Apache Commons Componen ...
最新文章
- 人群密度估计--Learning to Count with CNN Boosting
- OpenCV阶段总结扩充。
- 华为旗下哈勃投资公司入股光刻机制造商科益虹源
- style 字体加粗_第9篇 Qt Quick入门教程之基础(九)文本显示和字体
- ssm项目配置文件中的包扫描bean,排除特定bean的扫描
- 制作好的app需要服务器吗,在直播app制作过程中,服务器是如何配置的?
- NLP情感分析笔记(六):Transformer情感分析
- binary 和 varbinary 用法全解
- linux psftp,使用PSFTP实现Windows、Linux之间的文件传输
- html5查询通配符,通配符有哪些?
- 【火龙果】评测三 MicroPython上手初体验
- 帝国cms系统7.5 文档word
- Zoom Out and Observe:News Environment Perception for Fake News Detection
- 报错解决:Reason: Failed to determine a suitable driver class
- js中根据元素名获取对象,根据id获取等等。。。
- 华为路由器和交换机的简单命令
- html+css3实现动画demo
- STM32F103C8T6读取加密芯片SMEC98SP(SE98)随机数范例程序源码
- photoshop:无法完成请求 因为暂存盘已满
- linux 内存显示多少g,Linux以GB显示内存大小