https://mp.weixin.qq.com/s/asQIIF8NI_wvur0U0jNvGw 原创: feng 唯品会安全应急响应中心 2017-09-19 https://mp.weixin.qq.com/s/lkL-kmrIHjiuhYWWZgVcNg   在这里我们对Java中反序列化问题引发的远程代码执行漏洞的原理进行介绍.为了简化说明,在不引入第3方库的前提下进行操作,希望能起到抛砖引玉的效果.

Jenkins Java 反序列化远程执行代码漏洞(CVE-2017-1000353) 一.漏洞描述 该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中,jenkins利用此通道来接收命令,恶意攻击者可以构造恶意攻击参数远程执行命令,从而获取系统权限,造成数据泄露. 二.漏洞影响版本 所有jenkins主版本均受到影响(包括<=2.56版本) 所有的jenkins LTS均受到影响(包括<=2.46.1版本) 三.漏洞环境搭建 1. 官方下载jenkins-2.46-1.1.noarc

Apache Log4j 漏洞分析 仅用于研究漏洞原理,禁止用于非法用途,后果自负!!! CVE-2019-17571 漏洞描述 Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Log4j 1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码. 环境搭建 方便测试,添加JDK7U21的漏洞环境 新建Maven项目,po

原文地址:http://www.freebuf.com/tools/88908.html 本文原创作者:rebeyond 文中提及的部分技术.工具可能带有一定攻击性,仅供安全学习和教学用途,禁止非法使用! 0×00 前言 前段时间java 的反序列化漏洞吵得沸沸扬扬,从刚开始国外某牛的一个可以执行OS命令的payload生成器,到后来的通过URLClassLoader来加载远程类来反弹shell.但是后来公司漏扫需要加规则来识别这种漏洞,而客户的漏扫又时常会工作在纯内网的环境下,因此远程加载类的

静态代码块 -- >构造代码块 --> 构造方法静态代码块:只执行一次构造代码块:每次调用构造方法都执行 http://blog.csdn.net/wuhaiwei002/article/details/55226155 JAVA是一门面向对象的编程语言,这里考虑“类”里面在程序开始执行时的执行顺序. 先看一个实例: class Person{ static { System.out.println("执行Person静态代码块"); } { System.out.prin

Fastjson 反序列化 CVE-- Fastjson 利用版本范围为 Fastjson 及之前的版本 Struts2 S2-, S2-, S2-, S2-, S2-, S2-, S2-, S2-, S2-, S2-, S2-,S2-, S2-, S2-, S2-, S2-, S2-, S2-, S2-, S2-, S2-, S2-devMode, S2- Apache Shiro 反序列化 影响版本 Apache Shiro <= 1.2.4 Cookie字段里是否包含rememberME参

漏洞细节可以参看安全客的文章:https://bbs.ichunqiu.com/thread-22507-1-1.html Jenkins-CLI 反序列化代码执行(CVE-2017-1000353),巡风现已支持检测,漏洞检测插件来自社区成员 Dee-Ng.经过验证后我们稍作了修改,已经进行了推送.隔离了外网环境的同学可以手动更新下插件检测. <ignore_js_op> BTW,巡风已经在不少甲方.乙方公司落地部署,其中不乏一些大厂.找工作的同学也可以提插件上来,求 offer 直达用人部

欢迎和大家交流技术相关问题: 邮箱: jiangxinnju@163.com 博客园地址: http://www.cnblogs.com/jiangxinnju GitHub地址: https://github.com/jiangxincode 知乎地址: https://www.zhihu.com/people/jiangxinnju 漏洞介绍 国外的研究人员zero thoughts发现了一个Spring框架的反序列化远程代码执行漏洞. spring-tx.jar包中的org.springf

描述:部分版本WebLogic中默认包含的wls9_async_response包,为WebLogic Server提供异步通讯服务.由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命令. 具体原理分析自行百度... 影响版本 10.3.6 12.1.3 检测脚本 https://github.com/lufeirider/CVE-2019-2725 复现参考 https://www.dazhuanlan

Java 代码执行流程 类加载过程 加载 -> 验证 -> 准备 -> 解析 -> 初始化 -> 使用 -> 卸载 类加载时机:代码使用到这个类时 验证阶段 ".class"加载到内存里之后,必须先验证一下,校验他必须完全符合JM规范,后续才能交给VM来运行. 准备阶段 给加载的类分配内存空间 给类变量(static 修饰)分配内存空间 给类变量赋默认初始值 解析阶段 实际上就是把符号引用替换为直接引用的过程 加载 -> 验证 -> 准备

据国家网络与信息安全信息通报中心监测发现,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞.攻击者可利用上述漏洞实施任意文件写入.服务端请求伪造等攻击行为,造成服务器权限被窃取.敏感信息泄漏等严重影响. 据统计,此次事件影响Fastjson 1.2.80及之前所有版本.目前, Fastjson最新版本1.2.83已修复该漏洞. 葡萄城提醒广大开发者:请及时排查梳理受影响情况,在确保安全的前提下修复漏洞.消除隐患,提高网络系统安全防护能力,严防网络攻击事件. 漏洞描述 5月23日,

详见:http://blog.yemou.net/article/query/info/tytfjhfascvhzxcyt230 1.  JVM体系结构 图1 JVM体系结构    方法区:存放JVM加载的类型信息.包括: 类型基本信息,常量池,字段信息,方法信息,类变量,指向ClassLoader的引用,Class类的引用,方法表等. (对应JVM内存配置中的-PermSize等)    java堆:程序中创建的类的实例和数组,包括class对象和exception对象,存放在堆里面.堆中除了

转载--Typecho install.php 反序列化导致任意代码执行 原文链接(http://p0sec.net/index.php/archives/114/) 0x00 前言 漏洞公布已经过去一段时间了,当时只是利用了一下,并没有进行深度分析,现转载文章以便以后查看. 听说了这个洞,吓得赶紧去看了一下自己的博客,发现自己中招了,赶紧删除install目录. 恶意代码的大致操作顺序: base64解码后反序列化cookie中传入的__typecho_config参数, 然后让__typec

代码1测试 public static void main(String[] args) { aa(); } static int aa() { try { int a=4/0; } catch (Exception e) { e.printStackTrace(); return 1; }finally{ System.out.println("finally"); // return 2; return写在这里不规范,不是错误,但有感叹号 } return 2; } 输出结果如下:

1.新建一个java请求执行加法类 public class TestDemo { public int Tdemo(int a,int b){ int sum = 0; sum = a+b; return sum; } } 2.再建一个jmeter的java请求类 import org.apache.jmeter.config.Arguments; import org.apache.jmeter.protocol.java.sampler.AbstractJavaSamplerClient;

说明:本文主要参考自<分布式Java应用:基础与实践> 1.Java代码执行流程 第一步:*.java-->*.class(编译期) 第二步:从*.class文件将其中的内容加载到内存(类加载)(运行期) 第三步:执行代码(运行期) 说明: 整个白框部分表示JVM管理的内存 包含栈帧的地方称作JVM方法栈,一个栈帧就是一个方法 在Hotspot JVM中,JVM方法栈和本地方法栈是同一个 java方法是通过出栈操作来执行的(在类加载后入栈),所以执行引擎直接操作的是栈帧(即一个方法) 具

1.Java中哪些类是不能被继承的? 不能被继承的是那些用final关键字修饰的类.一般比较基本的类型或防止扩展类无意间破坏原来方法的实现的类型都应该是final的,在java中,System,String,StringBuffer等都是不能被继承的. 2.String是基本数据类型吗? 基本数据类型包括byte short char int  long float  double  boolean  . java.lang.String类是final类型的,因此不可以继承这个类,不能修改这个类

WebLogic “Java 反序列化”过程远程命令执行 详细信息: https://www.seebug.org/vuldb/ssvid-89726 说明: 反序列化是指特定语言中将传递的对象序列化数据重新恢复为实例对象的过程,而在这个过程中会执行一系列的字节流解析和对象实例化操作用于恢复之前序列化时的对象

0x00  前言     今天在Seebug的公众号看到了Typecho的一个前台getshell分析的文章,然后自己也想来学习一下.保持对行内的关注,了解最新的漏洞很重要. 0x01  什么是反序列化漏洞     如题所说,这是一个反序列化导致的代码执行.看过我之前文章的人应该不会陌生.PHP在反序列化一个字符串时,相当于激活了之前休眠的一个对象.当在激活的时候,会调用几个魔法方法来进行初始化以及相关操作.而如果魔法方法中存在危险操作,比如数据库操作,文件读写操作,系统命令调用等,那么就有可能

java静态代码块/静态属性.构造块.构造方法执行.main方法.普通代码块的顺序 这也是在笔试中的一个重要的考点,就有一个输出语句让你写出输出的结果. 理论知识: 静态代码块是:属于类的,在类加载时就自动执行.静态代码块定义时不能添加作用域符. 构造块是: 在类中定义的,且定义的位置与该类的其他的属性是相当的,就是不在该类的任何成员方法中,定义时直接用{ }包含即可,不用再添加其他任何的访问作用域符.构造块是每次创建对象都会执行一次构造块. 普通代码块:定义位置是在方法内部,在方法体内用 {