来源:https://blog.csdn.net/xlgen157387/article/details/79840134 Java序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为Java对象的过程; 序列化:对象序列化的最主要的用处就是在传递和保存对象的时候,保 ...
分类:
其他好文 时间:
2018-07-27 12:01:13
阅读次数:
147
漏洞介绍 + 漏洞类型 :JAVA反序列化(RCE) + 影响版本 :Apache Shiro 1.2.4及其之前版本 + 漏洞评级 :高危 漏洞分析 : 下载漏洞环境: 工具下载 该漏洞在传输中使用了AES CBC加密和Base64编码,CookieRememberMemanager.java类中 ...
分类:
Web程序 时间:
2018-07-02 11:11:08
阅读次数:
590
序列化 序列化是把对象转换为字节流,以便于保存在内存、文件、数据库中。反序列化则是相反的过程,将字节流还原为对象,Java中的ObjectOutputStream类的writeObject()方法用于序列化,类ObjectInputStream类的readObject()方法用于反序列化,如果Jav ...
分类:
编程语言 时间:
2018-05-30 01:18:48
阅读次数:
770
10.3.6版本的weblogic需要补丁到10.3.6.0.171017(2017年10月份的补丁,Java 反序列化漏洞升级),oracle官方建议至少打上2017年10月份补丁;10.3.6以下的版本需要升级至10.3.6 然后在补丁升级。 一、查看版本 1、用下面命令重配环境变量D:\Ora ...
分类:
编程语言 时间:
2018-03-27 12:29:17
阅读次数:
320
一、Java反序列化漏洞的挖掘 1、黑盒流量分析: 在Java反序列化传送的包中,一般有两种传送方式,在TCP报文中,一般二进制流方式传输,在HTTP报文中,则大多以base64传输。因而在流量中有一些特征: (1)TCP:必有aced0005,这个16进制流基本上也意味者java反序列化的开始; ...
分类:
编程语言 时间:
2018-02-19 22:55:49
阅读次数:
328
零、Java反序列化漏洞 java的安全问题首屈一指的就是反序列化漏洞,可以执行命令啊,甚至直接getshell,所以趁着这个假期好好研究一下java的反序列化漏洞。另外呢,组里多位大佬对反序列化漏洞都有颇深的研究,借此机会,努力学习,作为狼群中的哈士奇希望成功的继续伪装下去,不被识破,哈哈哈哈!! ...
分类:
编程语言 时间:
2018-02-15 15:41:00
阅读次数:
308
1、首先下载常用的工具ysoserial 这边提供下载地址:https://jitpack.io/com/github/frohoff/ysoserial/master-v0.0.5-gb617b7b-16/ysoserial-master-v0.0.5-gb617b7b-16.jar 2、使用方法 ...
分类:
编程语言 时间:
2018-01-03 18:32:51
阅读次数:
3471
参考博文 讨论三个问题:1.Java序列化和反序列是什么? 2.为什么要序列化和反序列化? 3.如何实现Java序列化与反序列化? 一、什么是Java序列化与反序列化 Java序列化是指把Java对象转换为字节序列的过程 Java反序列化是指把字节序列恢复为Java对象的过程 二、为什么需要序列化和 ...
分类:
编程语言 时间:
2017-11-15 17:14:04
阅读次数:
250
1.Java序列化与反序列化 Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。 2.为什么需要序列化与反序列化 我们知道,当两个进程进行远程通信时,可以相互发送各种类型的数据,包括文本、图片、音频、视频等, 而这些数据都会以二进制序列的 ...
分类:
其他好文 时间:
2017-10-10 16:46:54
阅读次数:
123
Java调用XMLDecoder解析XML文件的时候,存在命令执行漏洞。样例XML文件如下所示:<?xmlversion="1.0"encoding="UTF-8"?>
<javaversion="1.8.0_131"class="java.beans.XMLDecoder">
<objectclass="java.lang.ProcessBuilder">
<arrayclass="java.lang.S..
分类:
其他好文 时间:
2017-09-01 10:51:19
阅读次数:
2049
