发表了博客
2020/07/30 13:55

java反序列化——apache-shiro复现分析

看了好久的文章才开始分析调试java的cc链,这个链算是java反序列化漏洞里的基础了。分析调试的shiro也是直接使用了cc链。首先先了解一些java的反射机制。 一、什么是反射 反射是Java的特征之一,是一种间接操作目标对象的机制,核心是JVM在运行的时候才动态加载类,并且对于任意一个类,都能够知道这个类的所有属性和方法,调用方法/访问属性,不需要提前在编译期知道运行的对象是谁,他允许运行中的Java程序获取类的信息,并且...

0
0
发表了博客
2020/02/29 20:14

java反序列化-ysoserial-调试分析总结篇(2)

前言: 这篇主要分析commonCollections2,调用链如下图所示: 调用链分析: 分析环境:jdk1.8.0 反序列化的入口点为src.zip!/java/util/PriorityQueue.java 此时将会对队列调用siftdown函数,其中队列中包含了两个元素,其中一个即为templatesImpl恶意类 接下来调用siftDownUsingConparator函数 在这里将调用TransformingComparator的compare函数,在这里就到了新的漏洞触发点,this.transformer.transform(),而这里的this.tr...

0
0
发表于AI & 大数据专区
2019/09/30 17:11

反序列化漏洞

## 反序列化漏洞 ### 概述 Java 反序列化漏洞是 2015 年 11 月初曝出的一种新型信息安全高危漏洞,存在于 Apache Commons Collections 等 Java 公共库中,其广泛影响各种基于Java 编写的应用程序,被称为 2015 年最被低估、具有 巨 大 破 坏 力 的信 息 安 全 漏 洞 之 一 。 通 过 利 用WebLogic、WebSphere、JBoss、Jenkins、OpenNMS 等主流中间件和框架的 Java 反序列化漏洞,攻击者可以很容易地实现远程任意代码执行,进而夺...

0
0
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页