Java反序列化漏洞产生的原因
在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:
HTTP请求中的参数,cookies以及Parameters。
RMI协议,被广泛使用的RMI协议完全基于序列化
JMX 同样用于处理序列化对象
自定义协议 用来接收与发送原始的java对象
在序列化过程中会使用ObjectOutputStream类的writeObject()方法,在接收数据后一般又会采用ObjectInputStream类的readObject()方法进行反序列化读取数据。
上述代码中的java类ObjectInputStream在执行反序列化时并不会对自身的输入进行检查,意味着一种可能性,即恶意攻击者构建特定的输入,在ObjectInputStream类反序列化之后会产生非正常结果。而根据最新的研究,利用这一方法可以实现远程执行任意代码。
为了进一步说明,可以针对对上述代码进行了一点修改:
java反序列化漏洞利用工具
结果:
java反序列化漏洞利用工具
主要修改为自定义了一个被序列化的对象myobject,通过定义myobject实现了java序列化的接口并且定义了一种名为“readObject”的方法。通过对比上面例子的输出,可以发现反序列化的相关数值被修改了,即执行的用户自身的代码。造成结果不同的关键在于readObject方法,java在读取序列化对象的时候会先查找用户自定义的readObject是否存在,如果存在则执行用户自定义的方法。
- 手心输入法
- UltraEdit
- 360杀毒
- 360安全浏览器
- 360安全卫士
- 福昕PDF转word
- 财务报表分析助手
- 极速智能分班软件(免费1年)
- 新翔库存信息管理系统
- 奶茶店收银管理系统
- 羽睿继续教育培训信息管理系统
- 枫车门店管理系统
- 入学报名收费管理系统(可提供源代码)
- 机房IC卡网络管理系统(可提供源代码)
- DM企业建站系统
- 联合无线wifi管理系统
- 直管公房收费管理系统
- MT4跨平台多帐户云跟单管理系统——Hookswork
- 数据通班级操行管理系统
- 幼儿园MIS综合管理系统
- 智能广播打铃系统(校园版)
- 转转大师图片格式转换器
- 转转大师OCR文字识别软件
- 福昕PDF编辑器 FoxitPDFEditorPDF
- 闪电PDF转换成WORD转换器
- 超级马里奥3D世界(狂怒世界) v2.7.7 安卓手机版
- 侠义2手游(武侠手游) v1.2.610901 安卓版
- 马里奥派对超级巨星(休闲益智游戏) v2.7.7 最新安卓版
- 天使纪元官方版最新版(3D魔幻MMOARPG手游) v2.1656.919475 安卓版
- 偶像梦幻祭2官服(音乐手游) v3.2.7104 安卓版
- 为了吾王2中文版(策略RPG游戏) v2.7.1 安卓手机版
- 火影忍者终极风暴羁绊(动作格斗游戏) v2.7.1 安卓版
- 小黑的宝藏2官方正版(冒险解谜类手游) v1.5.2 安卓版
- 合并和刀片(Merge & Blade) app for Android v2.6.1 安卓手机版
- 艾人的长夜游戏(冒险动作类手游) v1.4 安卓版
- 记得
- 在网王的幸福生活(主网王+火影)
- 「蓝银」初见
- 情殇三部曲
- 同城男女
- 湮花落
- 我爱上了个gay
- 茉莉花冰淇淋
- 钥
- 雪绽晴空
- 鲜花盛开的山村
- 恋恋小酒窝
- 墓王之王
- 我亲爱的小洁癖
- 我在他乡挺好的
- 家仇
- 爱的二八定律
- 鱿鱼游戏 第一季
- 侬好,我的东北女友
- 山城棒棒军2