Java反序列化漏洞 & 原生类 & 第三方项目依赖

Java反序列化漏洞及相关利用工具
最新推荐文章于 2025-09-15 15:04:31 发布
最新推荐文章于 2025-09-15 15:04:31 发布
阅读量801 收藏 17
点赞数 22
CC 4.0 BY-SA版权
文章标签: java java安全 java专项漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81155391/article/details/148880311

靶场搭建

Releases · bewhale/JavaSec

1、启动PHPstudy内置mysql服务
2、修改root密码为123456
3、创建数据库javasec,导入SQL执行
4、运行如下命令
java -jar javasec-0.0.1-SNAPSHOT.jar

服务默认端口为 8000

java版本我们需要使用 

不大于 java 8 内核为100

对于这样的jar文件我们其实是可以进行反编译然后看源码的 当然有骚操作 : 就是改后缀为 .zip 

然后解压使用IDEA打开即可

源码文件所在地址

这有个信息就是 这个mapper 说明当前的数据库是mybatis数据库框架

原生类的反序列化

第一个就是readObject

分析一下代码

这个点说明当前的数据是进行base64加密的

那这个官方的链哪里来的呢 ?

这个就是需要我们使用java反序列化链的生成工具

java链利用工具

第一个就是yakit自带的

我们先使用dnslog生成一个域名 用来测试是否有反序列化漏洞 这个漏洞我们可以使用DNSURL链进行测试

测试发现上面的链丢失

然后本地的链这个 cb1.8是存在的 这个java链的使用主要看对方的环境有没有相应的

复制到

分析是有dns漏洞的所有就制造一个RCE

第二个工具 java-chains

基本使用:

生成java利用链:

先选择

修改参数内容的是第二个选项

生成JNDI 恶意协议地址

先选择这个选项然后把ip配置上点击启动

在这修改执行的命令

第二类是xmldecode

xml str自带的提取方法 :

xmlDecoder.readObject

第三类就是yaml类型的数据

这个就是需要配合JNDI注入

JNDI链的生成也是可以使用 java-chain进行生成的

如果报错

这样说明你的java版本过高了

成功会回显

第三方组件导致的反序列化

1、FastJson 这些组件的安全问题一般都是CVE

使用工具进行生成一个 rmi协议的恶意命令执行的地址

白盒 :

利用代码 JSON.parseObject(对象) 或者是使用 parse(JSon数据) 这样进行操作

2、Jackson组件

白盒测试代码  readValue(对象)

Shiro 反序列化

先进行判断Shiro组件的使用一般就是remberMe这个功能的单独http头

但是这个怎么没有呢
有的会出现在负载这个地方 

签证问题就是设计到 shiro的key  什么是key啊 这个就是记住我功能进行身份签证的一个证明 这个key是一个用户特有的

这个key一般是取自数据库和用户绑定的内容

工具利用:
先检测框架然后再检测利用的反序列化链

分析之后就能使用链进行命令执行等操作

Java 反序列化漏洞:如何避免和修复
shrgegrb的博客
03-17 1067
Java反序列化漏洞是一种严重的安全漏洞,主要出现在Java应用程序中。它发生在将字节流转换回对象的反序列化过程中。如果反序列化过程中没有进行有效的安全检查,攻击者可以构造恶意对象,导致任意代码执行、服务器崩溃或其他安全问题。反序列化漏洞的产生主要是因为Java的序列化和反序列化机制本身没有内置的安全性检查。攻击者可以构造一个恶意的序列化对象,当这个对象被反序列化时,就会触发漏洞,执行攻击者想要的操作。
反序列化漏洞汇总
hackzkaq的博客
12-08 5408
.反序列化的基本内容 类对象方法 类(Class): 用来描述具有相同的属性和方法的对象的集合。 它定义了该集合中每个对象所共有的属性和方法。对象是类的实例。 对象:通过类定义的数据结构实例。对象包括两个数据成员(类变量和实例变量)和方法。 对象:某一个具体的事物、实体或事例 类是类型,比如人类,犬类; 对象是某种类的一个实例(实际的例子),比如身为人类的你就是一个对象,你家养的狗就属于犬类的一个对象,或者说一个实例; 你可能经常会听到“实例化对象”,这句话的意思就是创建对象,此处的实例名词作动词用,作名
Java反序列化漏洞
weixin_45626840的博客
05-11 1008
本文详细介绍了Java中的序列化与反序列化机制,以及相关的安全漏洞。首先,序列化是将对象转换为字节流以便存储或传输,反序列化则是将字节流恢复为对象。Java通过Serializable接口和ObjectOutputStream、ObjectInputStream类实现这一过程。文章还探讨了Java反序列化漏洞,特别是通过构造特定的字节流(Gadget Chains)来触发恶意代码执行。Gadget Chains是由多个可被利用的类或方法组成的调用链,最终执行危险操作。文章以URLDNS链为例,展示了如何通过
Java 反序列化漏洞
qq_61553520的博客
05-24 5730
在各种编程语言的反序列化漏洞中,Java是最引人瞩目的,因为Java的开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式反应,进而影响到上层得操作系统。
java反序列化漏洞
lsswyy的博客
03-21 1135
/ transient字段不会被序列化。入口类(重写readObject) → 调用链(如Map.put/get) → 危险操作(如Runtime.exec)System.out.println(user.getUsername());// 输出:admin。// 反序列化来自网络的输入。使用JSON(如Jackson、Gson)替代Java原生序列化。方法:类自定义反序列化逻辑(若重写可能引入漏洞)。接口:标记可序列化的类。
Java反序列化漏洞与URLDNS利用链分析
道阻且长,行则将至
06-02 2066
本文从一个实际的 Java 反序列化 Demo 出发,学习反序列化漏洞的 Source 点特征、漏洞利用的必要条件,同时分析了 URLDNS 链的原理,最后总结了 Java 反序列化漏洞的防御手段。
Java反序列化漏洞利用链分析:CommonsCollections1(CC1)
syjshs的博客
07-26 555
Java 反序列化漏洞利用链中,CommonsCollections1(简称 CC1) 是最经典、最入门的一条利用链。本文将结合CC1Test1和CC1Test2两个利用样例,从整体流程、关键类、链条构造逻辑以及漏洞触发机制等多个方面,对 CC1 进行详细分析。
反序列化漏洞
金色%夕阳的博客
05-18 4493
反序列化漏洞 1、概述 序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。 条件: 类必须实现反序列化接口,同时设置serialVers
Shiro反序列化漏洞测试工具使用指南
weixin_34471637的博客
08-27 2026
本文还有配套的精品资源,点击获取 简介:Apache Shiro是一款提供身份验证、授权等安全功能的Java框架。其在处理会话管理时可能会遇到反序列化漏洞,即攻击者通过构造恶意序列化数据执行代码或获取敏感信息。本工具包提供了检测Shiro应用中潜在反序列化漏洞的测试工具,以帮助开发者或安全研究员识别并修复这些安全缺陷,保障应用安全使用指南包括对序列化与反序列化概念的介绍、...
深入学习Java反序列化漏洞
5. 审查第三方库的依赖:在使用第三方库进行序列化和反序列化时,要仔细审查这些库的安全性,因为第三方库的漏洞也可能导致应用程序安全风险。 6. 限制反序列化的类:限制应用程序反序列化对象时可以使用的类范围,...
php和java反序列化漏洞的防范
03-22
不要加载或调用已知存在风险的第三方库或类(如 Apache Commons Collections)。这些组件可能包含可被利用的方法链[^4]。 - **最小权限原则** 运行环境中应遵循最低特权原则,限制服务账户的能力范围,即使发生 ...
Java安全编码】:防御反序列化漏洞java.security库的应用
Java反序列化漏洞是指在Java应用中,由于对输入的序列化数据缺乏严格的控制和校验,恶意构造的序列化对象在反序列化过程中执行任意代码,从而导致的安全问题。这种漏洞是近年来安全领域关注的热点之一,因为它允许...
性能测试工具JvisualVM/jconsole使用
平时的经验总结,学习历程
09-12 621
port是jmx的另一个通信端口。可以不设置,启动后系统会自动随机指定端口。如果关闭了防火墙,没有网络访问策略,可以不设置。如果服务器需要开通端口访问策略此处需要配置开通策略的端口。然后在windows客户机,安装jdk目录下的bin目录下找到jvisualvm.exe或jconsole,通过远程连接方式监控jvm的cpu 内存 线程 类加载的情况。com.sun.management.jmxremote.port 是客户端连接的端口。主要介绍远程使用方式,在启动参数添加如下参数。
JavaScript 对象:一份全面的回顾
低代码布道师的博客
09-13 485
JavaScript 对象是基础的数据结构,是更复杂数据类型的基石。它们是一个由组成的集合,每个属性都包含一个键和一个值。掌握它们是精通 JavaScript 的关键。🔑。
winform程序写入注册表
最新发布
nbspzs的专栏
09-15 66
这样普通用户就能注册自定义 URL Protocol。(HKCR 系统级),而只操作。
C语言---goto语句
qq_58662768的博客
09-14 430
goto 语句是一种无条件跳转语句,它用于将程序的控制流无条件地转移到同一函数内的某个指定标签(Label)处。它的存在历史悠久,在早期的结构化编程语言中很常见,但在现代编程实践中,由于其可能带来的问题,通常不建议使用
Java | 掌握 Java 8 四大函数式接口:Consumer、Supplier、Predicate、Function
Andya_net的博客
09-14 580
Java 8函数式编程四大核心接口详解 摘要:Java 8引入的函数式编程特性中,java.util.function包提供了四大核心接口:Consumer(消费型,接收参数无返回值)、Supplier(供给型,无参数返回结果)、Predicate(断言型,接收参数返回布尔值)和Function(函数型,接收参数返回结果)。本文详细解析了各接口的源码结构、使用方法和典型应用场景,如Consumer用于日志打印和集合遍历,Supplier实现延迟计算,Predicate进行数据过滤,Function处理类型转
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值