记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

RunMiner挖矿团伙新增漏洞武器:利用Weblogic反序列化漏洞(CVE-2017-10271)攻击主机挖矿

RunMiner挖矿团伙新增漏洞武器:利用Weblogic反序列化漏洞(CVE-2017-10271)攻击主机挖矿2021-01-19 11:29:30腾讯安全云防火墙检测到RunMiner挖矿木马团伙使用新增漏洞武器攻击云主机挖矿: 利用weblogic反序列化漏洞(CVE-2017-10271)对云主机发起攻击,攻击成功后执行恶意脚本对Linux、Windows双平台植入挖矿木马,进行门罗币挖矿操作。
发布时间:2021-01-19 13:21 | 阅读:2639 | 评论:0 | 标签:漏洞 攻击 CVE 序列化

从反序列化到类型混淆漏洞 -- 记一次ecshop实例利用

本文初完成于2020年3月31日,由于涉及到0day利用,所以于2020年3月31日报告厂商、CNVD漏洞平台,满足90天漏洞披露期,遂公开。前几天偶然看到了一篇在hackone上提交得漏洞报告,在这个漏洞中,漏洞发现者提出了很有趣的利用,作者利用GMP的一个类型混淆漏洞,配合相应的利用链可以构造mybb的一次代码执行,这里我们就一起来看看这个漏洞。
发布时间:2021-01-18 11:56 | 阅读:3906 | 评论:0 | 标签:漏洞 序列化

原创 | 浅析PHP反序列化漏洞的利用与审计

收录于话题 点击上方蓝字 关注我吧0x00 前言反序列化漏洞其实很多人都讲过了,正巧最近在某坛子上看到篇审计讲一个典型的PHP反序列化漏洞点,那么我就重新回顾下,主要是学习思路和个人理解,如果误区请指出,笔者感谢。0x01 PHP序列化与反序列化介绍PHP提供了两个对象序列化和反序列化的方法,分别是serialize()和unserialize()。从意义上理解,serialize()序列化的作用是产生一个可存储的值的表示。在PHP官网有关于serialize()详细的解释。而unserialize()反序列化的作用是从已经存储的表示中创建PHP的值。
发布时间:2021-01-14 22:37 | 阅读:5739 | 评论:0 | 标签:漏洞 审计 PHP 序列化

Jackson反序列化漏洞(CVE-2020-36188)从通告到POC

 0x01 前言这里将分析Jackson反序列化漏洞(CVE-2020-36188)的分析过程,同时将会把如何从漏洞通告来分析构造并且调试出POC代码分享给大家。 0x01 Jackson的介绍大家都苦受Fastjson动不动就爆出一个反序列化漏洞而苦恼,从而将目光转向了Jackson。相比于Fastjson,Jackson不仅开源稳定易使用,而且拥有Spring生态加持,更受使用者的青睐。然而Jackson似乎也陷入了白帽子不断发现可利用Gadget,Jackson不断增加黑名单的泥坑当中。最近甚至一次性通告了十来个CVE。
发布时间:2021-01-14 12:55 | 阅读:5155 | 评论:0 | 标签:漏洞 CVE 序列化

原创 | 在XML中测试Fastjson反序列化

收录于话题 点击上方蓝字 关注我吧引言在实际业务开发中,经常会对xml或者json类型的请求数据进行解析。例如微信扫码支付的功能,按照微信开发文档与支付平台进行数据交互就需要使用XML格式的数据。针对XML传输的数据,最容易想到的就是XXE攻击了。通过XXE的利用,可以达到以下的目的:敏感信息泄漏(使用file协议读取敏感文件、列目录)递归调用造成拒绝服务攻击SSRF在php开启expect拓展的前提下可能会导致远程代码执行……在一定条件下是可以达到RCE的效果的,但是远不及任意文件上传和反序列化等漏洞那么粗暴。以下是记一次内部安全测试中的相关过程。
发布时间:2021-01-12 19:15 | 阅读:5761 | 评论:0 | 标签:序列化

Shiro反序列化的检测与利用

 作者:掌控安全-核心成员Xiaoc一、 前言Shiro 是 Apache 旗下的一个用于权限管理的开源框架,提供开箱即用的身份验证、授权、密码套件和会话管理等功能。该框架在 2016 年报出了一个著名的漏洞——Shiro-550,即 RememberMe 反序列化漏洞。4年过去了,该漏洞不但没有沉没在漏洞的洪流中,反而凭借其天然过 WAF 的特性从去年开始逐渐升温,恐将在今年的 HW 演练中成为后起之秀。 二、 原理事实上,关于shiro的原因网络之上已经有很多的分析。而且估计大多数人对枯燥的代码分析没多大兴趣。我这里就不啰嗦了。直接上如何检测以及攻击过程。
发布时间:2021-01-12 17:15 | 阅读:7290 | 评论:0 | 标签:序列化

记一次shiro反序列化漏洞getshell

收录于话题 0x01 背景偶然发现一个只有后台登录页面的网站系统,疑似是有一些防爬机制,具体是什么样的防护机制我也是两眼一抹黑,没弄明白..点击
发布时间:2021-01-11 09:52 | 阅读:5147 | 评论:0 | 标签:漏洞 序列化 shell

漏洞预警| jackson-databind反序列化远程代码执行漏洞(CVE- 2020-36183)

收录于话题 近日,FasterXML官方发布安全通告,披露jackson-databind反序列化远程代码执行漏洞(CVE- 2020-36183),同时公开感谢中睿天下iLab创新实验室发现并报告漏洞。据了解,jackson-databind < 2.9.10.8存在的反序列化远程代码执行漏洞(CVE- 2020-36183),利用漏洞可导致远程执行服务器命令。010x01漏洞描述:jackson-databind是一套开源java高性能JSON处理器,被发现存在一处反序列化远程代码执行漏洞(CVE-2020-36183)。
发布时间:2021-01-08 20:13 | 阅读:11063 | 评论:0 | 标签:漏洞 CVE 序列化 远程 执行

Jackson-databind多个反序列化漏洞风险通告,腾讯安全全面检测

收录于话题 2021年1月6日,jackson-databind官方发布公告,通报了11个反序列化漏洞。漏洞风险等级为“高危”,攻击者利用漏洞可能实现远程代码执行。1漏洞详情2021年1月6日,jackson-databind官方发布公告,通报了多个反序列化漏洞,漏洞风险等级为“高危”,攻击者利用漏洞可能实现远程代码执行。FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的核心组件之一。
发布时间:2021-01-07 18:33 | 阅读:9973 | 评论:0 | 标签:漏洞 序列化 安全

CVE-2020-2555——Coherence反序列化初探

 一、原理(一)概述不安全的反序列化漏洞已成为针对Java Web应用程序的研究者的普遍目标。这些漏洞通常会导致RCE,并且通常不容易彻完全修补。CVE-2020-2555就属于这一类。针对CVE-2015-4852的补丁的绕过有两种大思路,一是寻找新的可以实现任意代码执行的类,二是换可触发利用链的反序列化点(包括换接收输入的点和换到包装类的内部)。之前的绕过基本上都是第二种,这里主要是第一种,在选择的类上直接另立门户。(二)CVE-2020-2555CVE-2020-2555也是反序列化漏洞,其内部的原理不很是很复杂,却非常值得学习。前面讲过一个故事,现在接着往下编。
发布时间:2020-12-30 15:55 | 阅读:11318 | 评论:0 | 标签:CVE 序列化

Java反序列化协议解析 一

收录于话题 #Java 1个 年前开始研究Java反序列化,一直没有研究Java反序列化文件的格式。最近闲来无事,研究一下java反序列化文件的格式。扯这么多的原因主要是达成两个目标尝试使用python读取java反序列化文件,并转换为Json格式以方便阅读(其实没多少用,还是一样难懂)。json定义反序列化,随意编辑反序列化流,并通过json生成序列化文件。缩小某些payload工具的大小,生成一个exp需要N多依赖的jar包,这不讲伍德首先我们先大致讲解一下java序列化以及相关东西。java序列化功能只传递对象的属性,不传递对象的方法,静态变量等等。
发布时间:2020-12-28 19:41 | 阅读:12674 | 评论:0 | 标签:java 序列化

JAVA反序列化漏洞过程分析及调试

收录于话题 0x00 前言关于JAVA的Apache Commons Collections组件反序列漏洞的分析文章已经有很多了,当我看完很多分析文章后,发现JAVA反序列漏洞的一些要点与细节未被详细描述,还需要继续分析之后才能更进一步理解并掌握这个漏洞。
发布时间:2020-12-28 09:25 | 阅读:12002 | 评论:0 | 标签:漏洞 java 序列化

SerializationDumper辅助研究ysoserial URLDNS反序列化原理

SerializationDumper工具可以把对象序列化流以更方便阅读的格式显示出来,用来查看对象序列化流。在用SerializationDumper工具查看ysoserial URLDNS生成的对象序列流时,如果不了解Java对象序列化流格式语法,流中的部分内容很难看明白什么意思。本文主要先讲解Java对象序列化流格式语法,以更好地理解SerializationDumper的输出,彻底读懂对象序列化流内容。然后对ysoserial URLDNS生成的对象序列化流进行分析。先从一个最简单的Person类对象,被序列化后,使用SerializationDumper查看对象序列化流的内容开始。
发布时间:2020-12-24 16:04 | 阅读:12421 | 评论:0 | 标签:序列化

Java安全之Shiro 550反序列化漏洞分析

 0x00 前言在近些时间基本都能在一些渗透或者是攻防演练中看到Shiro的身影,也是Shiro的该漏洞也是用的比较频繁的漏洞。本文对该Shiro550 反序列化漏洞进行一个分析,了解漏洞产生过程以及利用方式。 0x01 漏洞原理Shiro 550 反序列化漏洞存在版本:shiro <1.2.4,产生原因是因为shiro接受了Cookie里面rememberMe的值,然后去进行Base64解密后,再使用aes密钥解密后的数据,进行反序列化。
发布时间:2020-12-24 10:56 | 阅读:13366 | 评论:0 | 标签:漏洞 java 序列化 安全

XStream 反序列化漏洞(CVE-2020-26258 & 26259)的复现与分析

 Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可证的许可下分发。 0x01 漏洞描述Xstream上次对CVE-2020-26217处理并不彻底,虽然通过黑名单方法阻止了远程代码执行,但是仍然可以采用类似思路实现文件删除与服务器请求伪造。
发布时间:2020-12-23 16:57 | 阅读:15275 | 评论:0 | 标签:漏洞 CVE 序列化

CVE-2017-3248——WebLogic反序列化初探

 一、原理(一)概述前面我们提到, CVE-2015-4852往后有一系列漏洞都是立足于对其补丁的绕过的,CVE-2017-3248也是其中之一。WebLogic 使用这种黑名单的方式试图过滤掉危险的类的这种修复方式有一定的效果,但也存在被绕过的风险。根据学习,我了解到的绕过的思路有如下几种:一是找到可用且未在黑名单之内的新类(新类要能构造链实现任意代码执行),此时的payload为新的;二是找到一种类,这种类可以反序列化自身成员变量,此时可以封装旧的payload;三是找到未在黑名单之内的新反序列化点,此时可以发旧的payload。
发布时间:2020-12-21 16:09 | 阅读:14834 | 评论:0 | 标签:CVE 序列化

(CVE-2020-7961)Liferay Portal RCE 反序列化命令执行漏洞

收录于话题 (CVE-2020-7961)Liferay Portal RCE 反序列化命令执行漏洞一、漏洞描述Liferay Portal CE是一款用来快速构建网站的开源系统。其7.2.0 GA1及以前的版本API接口中存在一处反序列化漏洞,利用该漏洞可在目标服务器上执行任意命令。
发布时间:2020-12-19 17:20 | 阅读:19666 | 评论:0 | 标签:漏洞 CVE 序列化 执行

fastjson 1.2.24 反序列化 RCE 漏洞复现

fastjson 1.2.24 反序列化导致任意命令执行漏洞Port : 8090fastjson 在解析 json 的过程中,支持使用 autoType 来实例化某一个具体的类,并调用该类的 set/get 方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。根据官方给出的补丁文件,主要的更新在这个 checkAutoType 函数上,而这个函数的主要功能就是添加了黑名单,将一些常用的反序列化利用库都添加到黑名单中。
发布时间:2020-12-18 18:48 | 阅读:14975 | 评论:0 | 标签:漏洞 序列化

漏洞情报|Jackson-databind反序列化漏洞风险通告(CVE-2020-35490,CVE-2020-35491)

2020年12月18日,腾讯云安全运营中心监测到,FasterXML Jackson-databind官方发布安全通告,披露Jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞,漏洞编号CVE-2020-35490、CVE-2020-35491。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞详情 Jackson-databind是一套开源java高性能JSON处理器。
发布时间:2020-12-18 14:32 | 阅读:22272 | 评论:0 | 标签:漏洞 CVE-2020-35490 CVE-2020-35491 Jackson-databind java 反序列化漏

剖析xmlDecoder反序列化

收录于话题 这是 酒仙桥六号部队 的第 130 篇文章。全文共计1727个字,预计阅读时长6分钟。一直想写个代码审计的文章,和大腿们交流下思路,正好翻xxe的时候看到一个jdk自带的xmlDecoder反序列化,很具有代表性,就来写一下,顺带翻一下源码。为什么选这个呢,因为ta让weblogic栽了俩跟头,其他都是手写了几个洞,被人发现了,weblogic是调用的东西存在一些问题,有苦没处说啊,下面剖析下xmlDecoder是怎么反序列化的。
发布时间:2020-12-18 00:14 | 阅读:22305 | 评论:0 | 标签:序列化

Yii2 反序列化漏洞(CVE-2020-15148)复现

收录于话题 漏洞概述Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在反序列化漏洞,程序在调用unserialize 时,攻击者可通过构造特定的恶意请求执行任意命令。
发布时间:2020-12-17 16:32 | 阅读:12583 | 评论:0 | 标签:漏洞 CVE 序列化

Yii2 反序列化漏洞复现分析

收录于话题 1、漏洞描述Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在反序列化漏洞,程序在调用unserialize() 时,攻击者可通过构造特定的恶意请求执行任意命令。
发布时间:2020-12-17 16:32 | 阅读:14150 | 评论:0 | 标签:漏洞 序列化

深入利用Apache Shiro反序列化漏洞

收录于话题 #攻防 11 #apache 1 #shiro 1 #框架 1 #Java 1 本文首发于先知社区,点击原文链接可查看原文0x00:背景shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload本身就是加密的,无攻击特征,所以几乎不会被waf检测和拦截。0x01:shiro反序列化的原理先来看看shiro在1.2.4版本反序列化的原理,这里是shiro拿到cookie后的关键代码,先decrypt再反序列化。
发布时间:2020-12-17 11:24 | 阅读:16670 | 评论:0 | 标签:漏洞 序列化

XStream 反序列化漏洞复现(CVE-2020-26258/CVE-2020-26259)

收录于话题 #SSRF 1 #任意文件删除 1 #XStream 1 漏洞描述XStream是一个常用的Java对象和XML相互转换的工具。近日,XStream官方发布了新版的XStream 1.4.15,并修复了两个CVE漏洞,分别是CVE-2020-26258和CVE-2020-26259。
发布时间:2020-12-16 01:52 | 阅读:22977 | 评论:0 | 标签:漏洞 CVE 序列化

反序列化的深入探讨

收录于话题 序列化概念序列化就是将一个对象转换成字符串,字符串包括该对象对应的类名,属性个数、属性名、属性值、属性名、值的类型和长度。反序列化则是将字符串重新恢复成对象,在反序列化一个对象前,这个对象的类必须在解序列化之前定义。
发布时间:2020-12-15 20:43 | 阅读:15532 | 评论:0 | 标签:序列化

CVE-2020-26258/26259:XStream反序列化漏洞风险通告,腾讯安全已复现验证,并支持检测防御

收录于话题 XStream官方发布了关于XStream反序列化漏洞的风险通告(漏洞编号:CVE-2020-26258,CVE-2020-26259),如果代码中使用了XStream,未授权的远程攻击者,可构造特定的序列化数据造成任意文件删除或服务端请求伪造。1漏洞详情CVE-2020-26258: 服务端请求伪造漏洞XStream的服务在反序列化数据时,攻击者可以操纵处理后的输入流并替换或注入对象,从而导致服务器端进行伪造请求。
发布时间:2020-12-14 21:31 | 阅读:17933 | 评论:0 | 标签:漏洞 防御 CVE 序列化 安全

CVE-2016-3510——WebLogic反序列化初探

 一 、原理(一)概述概述链接1概述链接2接CVE-2015-4852,Oracle使用黑名单进行了防护,如下,看一下CVE-2015-4852调试过程中记录的信息,​ 触发时的调用栈,结合上一次调试过程中记录的信息,我们可以看到,这个fix阻断了CVE-2015-4852的exp中在偏底层的位置对关键类的反序列化,可以说是打断了利用链。但同时,我们也要注意到,对那几个关键类的反序列化的禁止仅存在于那三个列出的反序列化点。也就是说,如果能在别的反序列化点,通过适当的readObject对那几个关键类进行反序列化,也有可能能触发RCE之类的漏洞。
发布时间:2020-12-14 16:56 | 阅读:16039 | 评论:0 | 标签:CVE 序列化

CVE-2020-26258/26259: XStream 反序列化漏洞通告

收录于话题 报告编号:B6-2020-121401报告来源:360CERT报告作者:360CERT更新日期:2020-12-140x01 漏洞简述2020年12月14日,360CERT监测发现  XStream  发布了  XStream 反序列化漏洞  的风险通告,漏洞编号为  CVE-2020-26259,CVE-2020-26258  ,漏洞等级:高危 ,漏洞评分:8.9 。
发布时间:2020-12-14 16:21 | 阅读:13897 | 评论:0 | 标签:漏洞 CVE 序列化

Apereo CAS 4.1 反序列化命令执行漏洞复现

收录于话题 漏洞概述Apereo CAS是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞,进而执行任意命令。
发布时间:2020-12-14 16:21 | 阅读:14065 | 评论:0 | 标签:漏洞 序列化 执行

CVE-2020-26258/26259:XStream 反序列化漏洞通告

 0x01 漏洞简述2020年12月14日,360CERT监测发现 XStream 发布了 XStream 反序列化漏洞 的风险通告,漏洞编号为 CVE-2020-26259,CVE-2020-26258 ,漏洞等级: 高危 ,漏洞评分: 8.9 。在运行 XSteam 的服务上,未授权的远程攻击者通过 构造特定的序列化数据 ,可造成 任意文件删除 / 服务端请求伪造。目前该漏洞的POC已经公开对此,360CERT建议广大用户及时将 XStream 升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
发布时间:2020-12-14 14:21 | 阅读:13401 | 评论:0 | 标签:漏洞 CVE 序列化

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云