Weblogic反序列化漏洞历史0x00weblogic简介WebLogic是美国Oracle公司出品的一个applicationserver,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。Weblogic直接反序列化漏洞回顾1.CVE-2015-4852利用Java反序列化和ApacheCo
原创
精选
2018-08-10 14:46:57
9387阅读
点赞
Weblogic反序列化在各大论坛的讨论一直是轰轰烈烈的,引发本漏洞其实并不能怪java的反序列化机制,本屌丝曾经也写过几行java代码,并且对weblogic的使用也稍微有点基础。
本文由红客联盟提供。
刚好朋友有个应用使用的是weblogic10.3.6 版本,并且使用WebLogic_EXP.jar 成功执行命令,还好没有被入侵,万幸!!!
测试漏洞存在,应朋友的要求帮忙
转载
精选
2016-05-22 19:45:23
784阅读
1 java反序列化简介java反序列化是近些年安全业界研究的重点领域之一,在Apache Commons Collections 、JBoss 、WebLogic 等常见容器、库中均发现有该类漏洞,而且该类型漏洞容易利用,造成的破坏很大,因此影响广泛。在本文中将先介绍java反序列化漏洞的原理,然后在此基础上介绍安全工具如何检测、扫描此类漏洞。1.1 什么是反序列化
转载
2024-02-22 14:04:24
111阅读
Java反序列化漏洞分析及检测方案序列化与反序列化序列化与反序列化是让 Java 对象脱离 Java 运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。要对某个类对象进行序列化及反序列化操作,则该类必须实现Serializable接口,Serializable 接口是启用其序列化功能的接口,实现 java.io.Serializable 接口的类才是可序列化的,没有实现此接口的类
转载
2023-07-19 12:30:08
65阅读
反序列化漏洞原理分析从序列化和反序列化说起什么是序列化和反序列化? 简单来讲,序列化就是把对象转换为字节序列(即可以存储或传输的形式)的过程,而反序列化则是他的逆操作,即把一个字节序列还原为对象的过程。这两个操作一般用于对象的保存和网络传输对象的字节序列等场景。 举个例子:在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物理硬盘,以便减轻内存压力或便于长期保存。抑或是在高并发的环境
转载
2023-08-12 19:53:34
56阅读
Java反序列化从爆出到现在快2个月了,已有白帽子实现了jenkins,weblogic,jboss等的代码执行利用工具。本文对于Java反序列化的简述后,并对于Java反序列化的Poc进行详细解读。 Java反序列化简介Java序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,Java中的ObjectOutputStream类的writeObject()方法可
转载
2024-02-13 20:49:40
19阅读
Java反序列化漏洞简介便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,类ObjectInputStream类的readObject()方法用于反序列化。下面是将字符串对象先进行序列化,存储到本地文件,然后再通过反序列化进行恢复问题在于,如果Java应用对用户输入,即不可信数据做
转载
2023-10-08 23:11:02
27阅读
一直想研究下php反序列化漏洞,花了几天时间做了个简单的了解。。写篇文章记录下。 直白点就是围绕着serialize和unserialize两个函数。 一个用于序列化,一个用于反序列化。 我们通常把字符串/数组/对象进行序列化,然后再反序列化被序列化的字符串/数组/对象 简单写个demo1.php <?php
$a="test"; //字符串
$
转载
2023-06-13 10:16:17
236阅读
漏洞原理java序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。当反序列化的输入来源于程序外部,可以被用户控制,恶意用户便可以构造恶意的字节流,经反序列化之后得到精心构造的恶意对象。也就是说一些java应用的数据在网络中传输,我们把里面的序列化数据抠出来,替换成我们的payload,应用程序接收之后把payload进行反序列化,构造的恶意功能(如
转载
2023-08-15 07:37:23
183阅读
前言想要搞明白weblogicT3协议中的反序列化和后续的反序列化绕过,就得先需要了解weblogic如何处理T3协议中的反序列化数据,了解流程之后再去分析CVE-2015-4852、CVE-2016-0638、CVE-2016-3510这些漏洞,会事半功倍。weblogic处理反序列化的流程首先我们看一张流程图,这是weblogic处理反序列化数据的时候的函数调用图readObject()
转载
2024-05-10 16:18:56
12阅读
序列化导致漏洞,但是网上大部分的文章...
原创
2023-05-09 12:34:32
648阅读
背 景Java的序列化和反序列化工作是通过ObjectOutputStream和ObjectInputStream来完成。ObjectOutputStream的writeObject方法可以把一个java对象写入流中,ObjectinputStream的readObject方法可以从流中读取一个java对象。在写入和读取的时候,使用的参数或返回的值是单个对象,但JAVA实际操作的是一个对象图,包括
转载
2024-02-23 10:53:33
18阅读
小结:3.2.2版本之前的Apache-CommonsCollections存在该漏洞(不只该包)1.漏洞触发场景 在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景: 1)HTTP请求中的参数,cookies以及Parameters。 2)RMI协议,被广泛使用的RMI协议完全基于序列化 4)JMX 同样用于处理序列化对象 5)自定义协议 用来接
转载
2023-08-08 12:59:44
223阅读
序列化与反序列化序列化用途:方便于对象在网络中的传输和存储java的反序列化序列化就是将对象转换为流,利于储存和传输的格式反序列化与序列化相反,将流转换为对象例如:json序列化、XML序列化、二进制序列化、SOAP序列化序列化:java.io.ObjectOutputStream 类中的 writeObject()该方法把对象序列化,将字节序列写到一个目标输出流中(.ser扩展名)反序列化:ja
转载
2023-09-24 11:12:15
15阅读
Java反序列化漏洞原理序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。 Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,类ObjectInputStream类的readObject()方法用于反序列化。 下面是将字符串
转载
2023-07-18 14:22:53
60阅读
2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行。 然而事实上,博客作者并不是漏洞发现者。博客中提到,早在2015年的1月28号,Gabriel Law
转载
2023-06-13 10:13:43
154阅读
一、基本概念Java序列化:就是将内存中的Java对象转换为字节序列的过程,可以理解为对Java对象打个快照。通过序列化,可以方便将Java对象保存在内存、文件、数据库等媒介中,也便于在网络中传输和共享Java对象。Java反序列化:就是Java序列化的逆过程,将字节序列恢复为Java对象的过程。序列化/反序列化并不是Java语言的独有特性,像PHP、Python、Ruby等动态语言也有类似的特性
转载
2023-09-18 21:37:49
7阅读
本文讲的是Java反序列化漏洞利用的学习与实践,利用DeserLab建议你在阅读本文之前,先阅读《攻击Java反序列化过程》,这样你就会对java反序列化有一个比较清晰的认识。除此之外,这篇文章还提到了一个“DeserLab”的演示应用。为了有效利用反序列化漏洞,理解序列化的原理以及反序列化漏洞利用的工作原理(如面向属性的编程原理),研究人员就要找到一个可供模拟的实验环境,而“DeserLab”就
转载
2023-09-29 08:10:12
70阅读
PHP反序列化漏洞复现测试代码 我们运行以上代码文件,来证明函数被调用: 应为没有创建对象,所以构造函数__construct()不会被调用,但是__wakeup()跟__destruct()函数都被调用,如果这些函数里面包含的是恶意代码会怎么样呢?利用场景__wakeup() 或__destruct()由前可以看到,unserialize(
转载
2024-05-10 10:41:07
82阅读
漏洞简介序列化:把对象转换为字节序列的过程,即把对象转换为可以存储或传输的数据的过程。例如将内存中的对象转换为二进制数据流或文件,在网络传输过程中,可以是字节或是XML等格式。 反序列化:把字节序列恢复为对象的过程,即把可以存储或传输的数据转换为对象的过程。例如将二进制数据流或文件加载到内存中还原为对象。反序列化漏洞首次出现在2015。虽然漏洞较新,但利用十分热门,主要原因还是太过信任客户端提交的
转载
2023-07-01 19:22:31
221阅读
