JEP290介绍 JDK Enhancement Proposal 简称JEP，是 JDK 增强提议的一个项目，目前索引编号已经达到了JEP415。 JEP290的描述是Filter Incoming Serialization Data，即过滤传入的序列化数据。JEP290 是 Java 为了防御反序列化攻击而设置的一种过滤器，其在 JEP 项目…

漏洞条件 Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0启用了IIOP、T3协议JDK版本符合JNDI注入条件 漏洞原理 攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞的WebLogic Server组件进行攻击。成功利用…

漏洞条件 WebLogic开启T3协议服务Oracle WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3 漏洞原理 Oracle WebLogic Server的T3通讯协议的实现中存在反序列化漏洞。远程攻击者通过T3协议在Weblogic Server中执行反序列化操作，利用RMI（远程方法调…

Fastjson反序列化漏洞(4)—1.2.68版本 复现大佬博客：Fastjson系列六——1.2.48-1.2.68反序列化漏洞 1.2.47之后出现了用各种绕过官方黑名单的方法，但是本质上都是使用了黑名单以外的类进行JNDI注入，所以都会受到JDK版本的限制。   1.2.62反序列化漏洞（黑名单绕过） 漏洞原理 新Gadget绕过黑名单限制…

Fastjson反序列化漏洞(3)—历史版本绕过 在1.2.24之后的版本中，使用了checkAutoType()函数，通过黑白名单的方式来防御Fastjson反序列化漏洞，因此后面发现的Fastjson反序列化漏洞都是针对黑名单的绕过来实现攻击利用的。 网上一些文章讲的都是针对1.2.41、1.2.42、1.2.43、1.2.45这些特定版本的补…

Fastjson反序列化漏洞(2)—1.2.24版本 影响版本 Fastjson 1.2.x系列的1.2.22-1.2.24版本。   复现 对于Fastjson 1.2.22-1.2.24 版本的反序列化漏洞的利用，目前已知的主要有以下的利用链： 基于TemplateImpl；基于JNDI（又分为基于Bean Property类型和Field类型…

Fastjson反序列化漏洞(1)——基本原理 基本概念 Fastjson简介 Fastjson是Alibaba开发的Java语言编写的高性能JSON库，用于将数据在JSON和Java Object之间互相转换，提供两个主要接口 JSON.toJSONString 和JSON.parseObject/JSON.parse 来分别实现序列化和反序列化…

Spring 反序列化JNDI注入漏洞 环境搭建 直接用的Github的项目：https://github.com/zerothoughts/spring-jndi 下载到本地，导入maven项目即可。 同时，为了顺利复现漏洞，JDK要在以下的版本之下：8u121、7u131、6u141。在上述版本之后的JDK中，都增加了com.sun.jndi.…

RMI反序列化 RMI介绍 RMI，是Remote Method Invocation（远程方法调用）的缩写，即在一个JVM中java程序调用在另一个远程JVM中运行的java程序，这个远程JVM既可以在同一台实体机上，也可以在不同的实体机上，两者之间通过网络进行通信。 RMI依赖的通信协议为JRMP(Java Remote Message Pro…

这篇文章受密码保护，输入密码才能阅读