标签: 反序列化

40 篇文章

浅谈JEP290
JEP290介绍 JDK Enhancement Proposal 简称JEP,是 JDK 增强提议的一个项目,目前索引编号已经达到了JEP415。 JEP290的描述是Filter Incoming Serialization Data,即过滤传入的序列化数据。JEP290 是 Java 为了防御反序列化攻击而设置的一种过滤器,其在 JEP 项目…
WebLogic T3反序列化漏洞(CVE-2018-2628)
漏洞条件 WebLogic开启T3协议服务Oracle WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3 漏洞原理 Oracle WebLogic Server的T3通讯协议的实现中存在反序列化漏洞。远程攻击者通过T3协议在Weblogic Server中执行反序列化操作,利用RMI(远程方法调…
Fastjson反序列化漏洞(4)—1.2.68版本
Fastjson反序列化漏洞(4)—1.2.68版本 复现大佬博客:Fastjson系列六——1.2.48-1.2.68反序列化漏洞 1.2.47之后出现了用各种绕过官方黑名单的方法,但是本质上都是使用了黑名单以外的类进行JNDI注入,所以都会受到JDK版本的限制。   1.2.62反序列化漏洞(黑名单绕过) 漏洞原理 新Gadget绕过黑名单限制…
Fastjson反序列化漏洞(3)—历史版本绕过
Fastjson反序列化漏洞(3)—历史版本绕过 在1.2.24之后的版本中,使用了checkAutoType()函数,通过黑白名单的方式来防御Fastjson反序列化漏洞,因此后面发现的Fastjson反序列化漏洞都是针对黑名单的绕过来实现攻击利用的。 网上一些文章讲的都是针对1.2.41、1.2.42、1.2.43、1.2.45这些特定版本的补…
Fastjson反序列化漏洞(2)—1.2.24版本
Fastjson反序列化漏洞(2)—1.2.24版本 影响版本 Fastjson 1.2.x系列的1.2.22-1.2.24版本。   复现 对于Fastjson 1.2.22-1.2.24 版本的反序列化漏洞的利用,目前已知的主要有以下的利用链: 基于TemplateImpl;基于JNDI(又分为基于Bean Property类型和Field类型…
Fastjson反序列化漏洞(1)——基本原理
Fastjson反序列化漏洞(1)——基本原理 基本概念 Fastjson简介 Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和Java Object之间互相转换,提供两个主要接口 JSON.toJSONString 和JSON.parseObject/JSON.parse 来分别实现序列化和反序列化…
Spring 反序列化JNDI注入漏洞
Spring 反序列化JNDI注入漏洞 环境搭建 直接用的Github的项目:https://github.com/zerothoughts/spring-jndi 下载到本地,导入maven项目即可。 同时,为了顺利复现漏洞,JDK要在以下的版本之下:8u121、7u131、6u141。在上述版本之后的JDK中,都增加了com.sun.jndi.…
RMI反序列化
RMI反序列化 RMI介绍 RMI,是Remote Method Invocation(远程方法调用)的缩写,即在一个JVM中java程序调用在另一个远程JVM中运行的java程序,这个远程JVM既可以在同一台实体机上,也可以在不同的实体机上,两者之间通过网络进行通信。 RMI依赖的通信协议为JRMP(Java Remote Message Pro…