记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华Java反序列化: 基于CommonsCollections4的Gadget分析
0x1 背景及概要随着Java应用的推广和普及,Java安全问题越来越被人们重视,纵观近些年来的Java安全漏洞,反序列化漏洞占了很大的比例。就影响程度来说,反序列化漏洞的总体影响也明显高于其他类别的漏洞。在反序列化漏洞的利用过程中,攻击者会构造一系列的调用链以完成其攻击行为。如何高效的生成符合条件且可以稳定利用的攻击Payload成为了攻击链条中的重要一环,当前已经有很多现成的工具帮助我们完成Payload的生成工作。本文主要以Ysoserial工具为例分析了基于org.apache.commons.collections4类库的Gadget,其通过构造一个特殊的PriorityQueue对象,将其序列化成字节流后,
一次受限环境中的Java反序列化漏洞挖掘到Get Shell
在本文中,我们将向你展示一个利用不安全的反序列化漏洞的过程,我们将以WebGoat 8反序列化挑战(部署在Docker上)为例。只需执行sleep5秒即可解决挑战。但是,我们将会进一步寻求乐趣并尝试get shell。介绍Java的反序列化问题在安全领域已经被安全人员所熟知很多年了。2015年,两名安全研究人员Chris Frohoff和Gabriel Lawrence在AppSecCali上发表了名为Marshalling Pickles 的演讲。此外,他们还发布了一个名为ysoserial的有效载荷生成器的工具。对象序列化主要是为了开发人员能够将内存中的对象转换为二进制和文本数据格式进行存储或传输。但是,
宜人贷招聘JAVA构架师(风控)
宜人贷(NYSE: YRD)是中国领先的在线金融服务平台,由宜信公司2012年推出。宜人贷通过科技驱动金融创新,为中国优质城市白领人群提供高效、便捷、个性化的信用借款咨询服务;通过“宜人财富”为大众富裕阶层提供安全、专业的财富管理服务。2015年12月18日,宜人贷在美国纽约证券交易所成功上市,成为中国金融科技第一股。
JAVA架构师(风控)
薪资范围:
40K-50K
岗位描述:
1.负责业务安全的应用架构设计,使系统体系化并具有前瞻性,能快速发现业务风险和及时管控。
2.充分利用数据和大数据处理的能力,驱动业务系统及风控业务具备更智能化的特性。
3.引导团队用架构的思路设计和规划系统,使团队的架构设计能力更上一个层面。
岗位要求:
1. 计算机软件或相关专业,本科或以上学历;
2. 具
针对J2EE的重定向后代码执行
关于EAR
几年之前关于一种“新类型”的漏洞——重定向后代码执行的白皮书,被发布在http://cs.ucsb.edu/~bboe/public/pubs/fear-the-ear-ccs2011.pdf.这是一种“逻辑“型漏洞,关于EAR的原理也很简单。就是当一个web应用返回重定向头给用户时,没有停止而是继续执行之后的代码。因此,有可能绕过授权并且在web 应用中执行一些动作或者窃取一些重要信息。
下面的例子更清晰的解释了EAR:
if (!(request.getParameter(“pass”).equals(adminPswd))) {
response.sendRedirect(“
java代码审计入门-SQL注入
来看一下代码,首先看statement的,当然现在已经几乎没人用了,首先这里使用拼接语句,直接将id带入查询而Statement每次执行sql语句都是进行编译导致的产生
//接受传参
//接受传参
String id=request.getParameter("id");
//链接数据库
Class.forName("com.mysql.jdbc.Driver");
Connection conn=DriverManager.getConnection("jdbc:mysql://localhost/codeaudit","root","root");
Statement statement=con
java简单实现千倍速度爆破一句话
代码如下:
import java.io.BufferedReader;
import java.io.File;
import java.io.FileInputStream;
import java.io.InputStreamReader;
import java.io.PrintWriter;
import java.net.URL;
import java.net.URLConnection;
import java.util.HashSet;
public class Crack extends Thread{
private String dic;
public Crack(String dic)
{
this.dic=dic;
}
IBM WebSphere java反序列化漏洞分析
Nessus它是首选的漏洞扫描程序,它可以找到任何潜在的漏洞。在查看Nessus报告信息时我发现了一个IBM知名的WebSphere Application Server漏洞。
NESSUS报告
Nessus的报告上写着,IBM的WAS应用程序中存在以下关键漏洞,并且能够通过发送精心设计的Java对象来利用Java反序列化
漏洞信息
CVE ID: CVE-2015-7450
描述:在某些IBM analytics,业务解决方案,cognitive,移动和社交产品,IT基础架构中的序列化对象接口,允许远程攻击者通过一个精心设计的序列化Java对象执行任意命令,这些对象与Apache Commons Collections库中的InvokerTransformer类相关。
更多信息: https : //cve
Java & Python 未修复漏洞导致跨越防火墙大混乱
发现该漏洞的程序员说:当你找到进入邮件服务器的路时,事情就变得好玩了。
Java & Python有个可以用来翻越防火墙的漏洞。因为俩漏洞都还没被补上,或许今儿是催促你公司开发人员的好日子。
该Java漏洞意味着,通过其FTP实现进行的协议注入,可欺骗防火墙放行互联网TCP连接接入内部主机。
亚历山大·科林克和 Blindspot Security 公司的蒂莫西·摩根,对这两个漏洞有进一步的阐述。
科林克的发现是:Java的 XMLeXternal Entity (XEE)错误处理了FTP连接,因为它没有对Java传到服务器的用户名进行语法检查。
特别是,cr和lf应该是拒绝接受的,但却被放行,让非FTP命令得以注入到连接请求中。科林克的证明展示了如何在FTP连接尝试(即便连接失败)中发送SMTP电子
JDNI注入/LDAP Entry污染攻击技术研究
(一)基本概念
1.1 JNDI
JNDI(Java Naming and DirectoryInterface),直译为命名与目录接口。JNDI是一组客户端通过名称(Naming)来寻找和发现数据和对象的API。
JNDI的概念分为命名系统和目录系统:
(1) 命名系统(Naming Service):将实体使用名称和值的方式联系起来,俗称绑定。
DNS:将机器的网络地址和域名进行映射;
文件系统:将文件名和存储在磁盘的数据进行映射。
(2) 目录系统(Directory Service):是一种特殊的命名系统,目录系统中支持“目录对象”的存储和查询。LDAP就是一种目录系统,允许以树状的形式存储目录对象,并且可以对这些对象进行索引。
明确一下对象的概念,对象可以在本地,也可以部署在远程服务器。学习过RM
HITB16议题解析:Java应用ORM注入开发新方法
“Hack In The Box”会议是在欧洲阿姆斯特丹举办的全球知名安全峰会。今年的会议十分有趣,其中一个由安全研究员Mikhail Egorov和Sergey Soldatov提出的议题“Java应用ORM注入开发新方法”引发了热议。什么是对象关系映射(ORM)?ORM是指对象映射关系,这是一种程序开发技术,用于实现面向对象编程语言里不同类型系统的数据之间的转换。从效果上说,它其实是创建了一个可在编程语言里使用的“虚拟对象数据库”。现今这项技术在商业应用广泛。几个著名的Java ORM数据库:–Hibernate ORM(经常应用在Wildfly和JBoss)–eclipselink(例如GlassFis
Oracle out-of-band release for Java SE Vulnerability
0)漏洞简介
漏洞编号:CVE-2016-0636,此漏洞是安全研究员(Adam Gowdiak)于2013年报告给Oracle的漏洞(CVE-2013-5838)的变体。由于Oracle在部分代码分支中未对该漏洞进行修补,导致了此漏洞再现江湖,影响版本:java SE 7u97, 8u73, 8u74。
1)测试环境
Windows 7 x86 + jdk_1.8.0_74
2)漏洞分析
由于反射API的实现存在缺陷,当方法句柄(MethodHandles)处理目标类的成员函数时,因对函数参数的类型校验不严谨,可导致类型混淆。校验过程如下图所示:
其中clazz代表目标类,type代表clazz类的成员函数,具体验证代码如下图所示:
其中loadersAreRelated的实现代码如下:<spa
Java Spring各种依赖注入注解的区别
Spring对于Bean的依赖注入,支持多种注解方式:@Resource
javax.annotation
JSR250 (Common Annotations for Java)
@Inject
javax.inject
JSR330 (Dependency Injection for Java)
@Autowired
org.springframework.bean.factory
Spring直观上看起来,@Autowired是Spring提供的注解,其他几个都是JDK本身内建的注解,Spring对这些注解也进行了支持。但是使用起来这三者到底有什么区别呢?笔者经过方法的测试,发现一些有意思的特性。
区别总结如下:
一、@Autowired有个required属性,可以配置为fals
补丁问题导致Java高危漏洞再现 可攻击最新版服务器
安全研究人员警告称,甲骨文在2013年发布的一个关键 Java 漏洞更新是无效的,黑客可以轻松绕过。这使得此漏洞可以被再度利用,攻击运行最新版本 Java 的个人计算机及服务器。该漏洞在通用漏洞及披露数据库中的代码为 CVE-2013-5838 ,甲骨文在通用漏洞评分系统上给其打出过 9.3/10 的高分。 该漏洞可被远程利用,不需要授权验证即可完全入侵系统,损害其机密性、完整性、可用性。波兰公司 Security Explorations 的研究人员最早向甲骨文上报了该漏洞。他们表示,攻击者可以利用它从 Java 安全沙盒中逃逸。通常情况下,Java运行时间环境(JRE)在虚拟机中运行 Java 代码。Security Explorations 公司首席执行官亚当·高迪亚克(Adam Gowdiak)在发给
Jinfinity:Java反序列化DDoS工具
伴随着很多关于 Java 反序列化漏洞的讨论,本文分享的是一款开源 DDoS 工具,你可以下载并使用它让目标耗尽所有的内存处理反序列对象,最终造成拒绝服务。这款工具名为 jinfinity。jinfinity 像许多解析器一样利用反序列化遵循读取直到结束的模式。同时,jinfinity 可以完全绕过现有的对于反序列化的保护。问题代码 ObjectInputStream.java#readObject() 在处理特定反序列化类型时会像处理空指针、代理类和其他一些对象一样将其作为一个特例。其中一个特例是 Strings,这也是我们所感兴趣的。在 JVM 中,代码读取 String 直接调用方法 BlockDataInputStream#readUTF()。下面是重点:当大多数对象进行反序列化操
Java反序列化工具
from: wooyaa.me
0X00 概述
Java反序列化漏洞已经被曝出一段时间了,本人参考了网上大神的放出来的工具,将Jboss、Websphere和weblogic的反序列化漏洞的利用集成到了一起。FreeBuf上已经公开了JBoss反序列化执行命令回显的工具,在本文中就不多做叙述了。其实,WebSphere的利用过程也和JBoss差不多,只不过在发送Payload和解析结果的时候多了个Base64编码(解码)的过程。
本工具暂时支持的功能:
1、本地命令执行并回显,无须加载外部jar包,支持纯内网环境检测。
2、支持JBoss、WebSphere和Weblogic的反序列化漏洞检测。
3、支持https数据传输。
4、支持文件目录列表。
0X01 WebSphere的反序列化漏洞利用
一种确保Java程序安全的简单方式
SecurityManager介绍Java序列化漏洞利用中突出的一点是,一旦一个服务器端的Java应用程序被破解,那么下一步就是获取主机上的shell访问权限,这就是我们所熟知的远程代码执行(RCE)。然而有趣的是,其实从Java 1.1开始,Java中就存在一种方式来限制代码执行,并能够防止远程代码执行,这就是SecurityManager。在启用SecurityManager之后,Java代码会在一个非常安全的沙盒中执行,而这能够防止远程代码执行。java -Djava.security.manager com.example.Hello这会以$JAVA_HOME/jre/lib/security/java.policy中的默认安全策略运行,在JDK 1.8中为如下
公告
关注公众号hackdig,学习最新黑客技术