记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华Apache Dubbo CVE-2023-23638 JavaNative 反序列化漏洞分析
作者:jweny safe6 Koourl0x01 写在前面Apache Dubbo 是一款开源的一个高性能的 Java RPC 框架,致力于提供高性能透明化的 RPC 远程服务调用方案,常用于开发微服务和分布式架构相关的需求。Apache Dubbo 默认支持泛化引用由服务端 API 接口暴露的所有方法,这些调用统一由 GenericFilter 处理。GenericFilter 将根据客户端提供的接口名、方法名、方法参数类型列表,根据反射机制获取对应的方法,再根据客户端提供的反序列化方式将参数进行反序列化成 pojo 对象。
FastJson 与原生反序列化
作者:Y4tacker本文为作者投稿,Seebug Paper 期待你的分享,凡经采用即有礼品相送! 投稿邮箱:paper@seebug.org前言这其实是我很早前遇到的一个秋招面试题,问题大概是如果你遇到一个较高版本的FastJson有什么办法能绕过AutoType么?我一开始回答的是找黑名单外的类,后面面试官说想考察的是FastJson在原生反序列化当中的利用。因为比较有趣加上最近在网上也看到类似的东西,今天也就顺便在肝毕设之余来谈谈这个问题。
发布时间:2023-03-22 12:04 |
阅读:55305 | 评论:0 |
标签:序列化
FastJson与原生反序列化
FastJson与原生反序列化前言这其实是我很早前遇到的一个秋招面试题,问题大概是如果你遇到一个较高版本的FastJson有什么办法能绕过AutoType么?我一开始回答的是找黑名单外的类,后面面试官说想考察的是FastJson在原生反序列化当中的利用。因为比较有趣加上最近在网上也看到类似的东西,今天也就顺便在肝毕设之余来谈谈这个问题。
发布时间:2023-03-20 18:13 |
阅读:63330 | 评论:0 |
标签:序列化
Java反序列化安全 | DNS-URL
引 言 本篇为Java反序列化安全的第一篇,用了大量篇幅讲到Java基础知识序列化和反序列化以及Java反射。以DNS-URL链为例跟踪数据从反序列化入口到在服务器上执行期望方法的整个过程。01 序列化与反序列化Serialization(序列化)是将对象的状态信息转化为可以存储或者传输的形式的过程,一般将一个对象存储到一个储存媒介,如磁盘上(通常保存在文件中)。
Java反序列化回显学习(一)
前言
在测试某反序列化漏洞,可以通过URLDNS链确定漏洞是否存在但在利用时遇到了困难,相关利用链可以执行系统命令却无法得到回显。
因此需要在此基础修改利用链达到命令回显得目的,下边记录的即是此次修改的过程。
Java反序列化回显方法
根据搜索到的资料给出的常见回显方法有以下几种:1、报错回显:要求服务器将报错信息打印到页面。2、写文件:把执行结果写入静态文件置于web目录下再读取结果。3、DNSLOG回显:通过DNSLOG将执行结果带出(未实现)。4、中间件回显:获取response对象,结果写入response对象中带出。
Apache Dubbo反序列化漏洞(CVE-2023-23638)
阅读: 32一、漏洞概述近日,绿盟科技CERT监测到Apache官方发布安全通告,修复了一个Apache Dubbo反序列化漏洞(CVE-2023-23638)。由于Apache Dubbo对反序列化安全检查存在缺陷,远程攻击者通过构造恶意数据包进行反序列化攻击,最终可实现在目标系统上执行任意代码,请受影响的用户尽快采取措施进行防护。Apache Dubbo是一款微服务开发框架,它提供了RPC通信与微服务治理两大关键能力。使应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring 框架无缝集成。
漏洞预警|Apache Dubbo 存在反序列化漏洞
棱镜七彩安全预警近日网上有关于开源项目Apache Dubbo 存在反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。项目介绍Apache Dubbo 是一款 RPC 服务开发框架,用于解决微服务架构下的服务治理与通信问题,官方提供了 Java、Golang 等多语言 SDK 实现。使用 Dubbo 开发的微服务原生具备相互之间的远程地址发现与通信能力, 利用 Dubbo 提供的丰富服务治理特性,可以实现诸如服务发现、负载均衡、流量调度等服务治理诉求。
记一次反序列化漏洞的利用之路
0x01 前言一次偶然的机会拿到了一套系统的源码,结合CodeQLpy很容易发现了其中存在的反序列化漏洞,如图1.1所示。这是属于标准的java反序列化,也没有进行任何过滤。CodeQlpy项目地址:https://github.com/webraybtl/CodeQLpy图1.1 目标源码中存在的反序列化漏洞0x02 探索1) 确认反序列化漏洞存在一般来说确认反序列化漏洞都可以使用URLDNS链,因为这条链是属于JDK自带的,不依赖于第三方jar包,只要目标DNS出网一般即可利用成功,具有较强的通用性。
入侵检测NIDS之Shiro反序列化流量分析
笔者注 对网络中传输的各种流量进行分析,从中发现违反已定安全策略的行为,这是NIDS的核心功能。从检测技术上分为三种:基于协议分析的特征检测IOC类:IP、域名、端口、特征URL等特征字符串:header、body、ua、参数、包大小等违背协议标准的异常特征基于行为分析的异常检测,主要有两种算法:模式比较、聚类聚类比较好理解模式比较分为两种:关联规则从用户定义的"支持度"和"可信度"两个维度出发,设定用户合法行为的阈值,通过和用户实际行为的比较来发现攻击。同时,还会分析一种行为与其它行为之间的相互关联性或相互依靠性,比如常用的统计学。
hutool XML反序列化漏洞(CVE-2023-24162)
漏洞简介
Hutool 中的XmlUtil.readObjectFromXml方法直接封装调用XMLDecoder.readObject解析xml数据,当使用 readObjectFromXml 去处理恶意的 XML 字符串时会造成任意代码执行。
php(phar)反序列化漏洞及各种绕过姿势
本文为看雪论坛优秀文章看雪论坛作者ID:pank1s一简介序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。简单来说就是我在一个地方构造了一个类,但我要在另一个地方去使用它,那怎么传过去呢?于是就想到了序列化这种东西,将对象先序列化为一个字符串(数据),后续需要使用的时候再进行反序列化即可得到要使用的对象,十分方便。
记一次SpringBoot eureka XStream 反序列化命令执行漏洞
0x01 前言最近发现,好多网站都是通过springboot搭建的,基本上在进行目录扫描或者指纹扫描的时候都能发现,springboot如果配置不当,就会产生相应的漏洞。springboot的相关资料可以参考:https://github.com/LandGrey/SpringBootVulExploit,详细讲述了springboot的技巧和利用方法。这次发现的是springboot eureka的远程命令执行漏洞,具体流程:信息泄漏-DNSLOG测试-RCE。
靶场攻略 | php反序列化靶机实战
本文作者:eth10(贝塔安全实验室-核心成员)
0x01:靶机下载地址
https://www.vulnhub.com/entry/serial-1,349/,如何搭建靶机,请自行百度!
0x02:存活扫描
请输?
Thinkphp v6.0.13反序列化(CVE-2022-38352)分析
1.环境搭建目前的Thinkphp6.1.0以上已经将filesystem移除了,之前因为这玩意儿曝出了好多条反序列化漏洞。composer安装Thinkphp6.0.13:composer create-project topthink/
CVE-2023-0669 GoAnywhereMFT反序列化漏洞复现
免责声明
文中提到的所有技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途,否则产生的一切后果自行承担,与本文作者无关!
GoAnywhereMFT
GoAnywhereMFT是一个管理文件传输的解决方案,它简化了系统、员工、客户和贸易伙伴之间的数据交换。它通过广泛的安全设置、详细的审计跟踪提供集中控制,并帮助将文件中的信息处理为XML、EDI、CSV和JSON数据库。
CVE-2023-0669
GoAnywhereMFT管理端存在反序列化漏洞,攻击者利用该漏洞无需登录便可以远程执行任意命令。漏洞被追踪为CVE-2023-0669。
Apache Flink反序列化的探索
前言最近看了一些Flink的利用手法,一些文章中虽提到了其反序列化利用点的利用技巧,但在高版本中无法进行利用,通过对代码逻辑的深入分析,本文提出了一种新的反序列化利用技巧。
发布时间:2023-02-15 11:42 |
阅读:124224 | 评论:0 |
标签:序列化
java反序列化预备全知
Java原生序列化/反序列化Java IO在学习Java反序列化之前我们先要了解一下Java的输入输出流:java的IO流分为了文件IO流(FileInput/OutputStream)和对象IO流(ObjectInput/OutputStream),从名字上就可以看出来一个是用来对文件进行输入和输出,一个是对对象进行输入和输出。流的传输过程:首先不管是输入还是输出,传输的两端都是文件和java的运行程序,所以如果想要在这二者之间进行传输,我们就需要将他们两个之间搭起来一个可以传输的通道,这样就可以实现流的传输。
GoAnywhere MFT反序列化漏洞(CVE-2023-0669)利用工具
CVE-2023-0669GoAnywhere MFT suffers from a pre-authentication command injection vulnerability in the License Response Servlet due to deserializing an arbitrary attacker-controlled object.Dorkshodantit
Java安全中commons-collections4包下的两条反序列化链
前言CC2和CC4都是基于org.apache.commons:commons-collections4上的反序列化链子以前的POC修改在这个版本中,cc包上面的LazyMap类的decorate方法没有了,但是也只是把
实战 | JSON反序列化到RCE
介绍序列化是将某些对象转换为可以恢复的数据格式的过程。反序列化是从某种格式获取结构化数据,并将其重建为对象。如今用于序列化数据的最流行的数据格式是 JSON。反序列化漏洞是一种在反序列化您发送的数据的过程中能够注入代码并在受害机器中执行的漏洞,最典型的是在使用 Node JS 的应用程序中,但在这种情况下是在 JSON 中。漏洞检测要检测此漏洞,您首先需要以 JSON 格式向受害者网站发送数据。测试网站中以 JSON 格式发送的数据存在于网站使用的会话 Cookie 中。
漏洞深度分析|CVE-2023-24162 hutool XML反序列化漏洞
项目介绍Hutool是一个小而全的Java工具类库,通过静态方法封装,降低相关API的学习成本,提高工作效率,使Java拥有函数式语言般的优雅,让Java语言也可以“甜甜的”。Hutool中的工具方法来自每个用户的精雕细琢,它涵盖了Java开发底层代码中的方方面面,它既是大型项目开发中解决小问题的利器,也是小型项目中的效率担当;Hutool是项目中“util”包友好的替代,它节省了开发人员对项目中公用类和公用工具方法的封装时间,使开发专注于业务,同时可以最大限度的避免封装不完善带来的bug。
漏洞预警|hutool 存在反序列化漏洞
棱镜七彩安全预警近日网上有关于开源项目 hutool 存在反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。项目介绍Hutool是一个小而全的Java工具类库,通过静态方法封装,降低相关API的学习成本,提高工作效率,使Java拥有函数式语言般的优雅,让Java语言也可以“甜甜的”。项目主页https://hutool.cn/代码托管地址https://gitee.com/dromara/hutool/CVE编号CVE-2023-24162漏洞情况hutool是一款采用java开发的工具类库。
MySQL jdbc 反序列化分析
0x01 前言
听师傅们说这条链子用的比较广泛,所以最近学一学,本来是想配合着 tabby 或是 codeql 一起看的,但是 tabby 的环境搭建一直有问题,耽误了很久时间,所以就直接看了
0x02 JDBC 的基础
• 本来不太想写这点基础的,但想了想觉得还是要补一点
JDBC 对数据库的操作一般有以下步骤
• 导入包:要求您包含包含数据库编程所需的 JDBC 类的软件包。通常,使用 import java.sql.* 就足够了。
MYSQL JDBC反序列化解析
一、JDBC简介JDBC(Java DataBase Connectivity)是一种用于执行Sql语句的Java Api,即Java数据库连接,是Java语言中用来规范客户端程序如何来访问数据库的应用程序接口,可以为多种关系数据库提供统一访问,提供了诸如查询和更新数据库中数据的方法,是Java访问数据库的标准规范。简单理解为链接数据库、对数据库操作都需要通过jdbc来实现。Mysql JDBC 中包含一个危险的扩展参数: "autoDeserialize"。这个参数配置为 true 时,JDBC 客户端将会自动反序列化服务端返回的数据,造成RCE漏洞。
从0到1的fastjson的反序列化漏洞分析
FastJson 是一个由阿里巴巴研发的java库,可以把java对象转换为JSON格式,也可以把JSON字符串转换为对象环境搭建导入依赖<dependencies> <depend
【漏洞预警】Apache Linkis反序列化漏洞
1. 通告信息
近日,安识科技A-Team团队监测到Apache发布安全公告,修复了Linkis DatasourceManager模块中的一个反序列化漏洞(CVE-2022-44645)和一个文件读取漏洞(CVE-2022-44644)。
对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。
发布时间:2023-02-01 20:09 |
阅读:264206 | 评论:0 |
标签:漏洞 Apache Linkis反序列化漏洞 Apache Linkis文件读取漏洞 CVE-2022-44644 CV
原创 | 细谈使用CodeQL进行反序列化链的挖掘过程
点击蓝字关注我们前言学习了一下CodeQL的各种使用方式,决定使用CodeQL细谈一下CC链挖掘,通过一步一步的朝着我们既定的目标进行靠近,最终成功的找
发布时间:2023-02-01 18:28 |
阅读:179365 | 评论:0 |
标签:序列化
一个高度可定制化的JNDI和Java反序列化利用工具
• 基本信息• 生成LDAP链接• Direct JNDI• 反序列化场景• 内容回显• 命令执行:• 读写文件:•&nb
用 Goby 通过反序列化漏洞一键打入内存马【利用篇】
Goby 社区第 22 篇技术分享文章全文共:3734 字 预计阅读时间:10 分钟0×01 前言在上一篇《Shell中的幽灵王者—JAVAWEB 内存马 【认知篇】》中,我从概念上介绍了很多内存马的东西,并给出了我的观点:“大势所趋下,内存马技术将会像 SQL 注入、文件上传一样,是以后每位安全研究员都必须掌握的安全技术”。
.net反序列化萌新入门--SoapFormatter
简介SoapFormatter位于System.Runtime.Serialization.Formatters.Soap.dll,以 SOAP 格式序列化和反序列化对象或连接对象的整个图,并实现了IRemotingFormatter、IFormatter接口。SOAP即Simple Object Access Protocol,简单对象访问协议,基于XML协议。SOAP是开放的协议,可以跨平台的其他程序也可以使用SoapFormatter序列化的文件,SoapFormatter与BinaryFormatter的区别是:SoapFormatter不能序列化泛型类型。
发布时间:2023-01-11 21:04 |
阅读:174094 | 评论:0 |
标签:序列化
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
🙇🧎¥由自富财,长成起一↓
❤用费0款退球星,年1期效有员会
