国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

Hessian 反序列化RCE漏洞復(fù)現(xiàn)

2年前作者:OidBoy_G分類:Toy博客閱讀(34)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了Hessian 反序列化RCE漏洞復(fù)現(xiàn)。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

1、產(chǎn)品簡介

? ? ?Hessian是二進(jìn)制的web service協(xié)議,官方對Java、Flash/Flex、Python、C++、.NET C#等多種語言都進(jìn)行了實(shí)現(xiàn)。Hessian和Axis、XFire都能實(shí)現(xiàn)web service方式的遠(yuǎn)程方法調(diào)用,區(qū)別是Hessian是二進(jìn)制協(xié)議,Axis、XFire則是SOAP協(xié)議,所以從性能上說Hessian遠(yuǎn)優(yōu)于后兩者,并且Hessian的JAVA使用方法非常簡單。它使用Java語言接口定義了遠(yuǎn)程對象,集合了序列化/反序列化和RMI功能。

2、漏洞概述

? ? ? Hessian是一個輕量級的RPC框架。它基于HTTP協(xié)議傳輸,使用Hessian二進(jìn)制序列化,對于數(shù)據(jù)包比較大的情況比較友好,Hessian反序列化類似Java反序列化,hessian-4.0.60.jar及之前版本中存在反序列化漏洞,成功利用此漏洞可在目標(biāo)系統(tǒng)上執(zhí)行惡意代碼。攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行遠(yuǎn)程代碼執(zhí)行攻擊,最終獲取服務(wù)器最高權(quán)限。

3、影響范圍

? ? ?版本? ?=<? ?hessian-4.0.60.jar

4、環(huán)境搭建

? ? 這里我們使用vulfocus靶場進(jìn)行復(fù)現(xiàn)

hessian反序列化漏洞,漏洞復(fù)現(xiàn),web安全,網(wǎng)絡(luò)安全

?5、利用流程

?1、打開靶場環(huán)境,啟動JNDI利用工具:JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar是某大佬寫得JNDI注入利用工具

? ?工具地址:文章來源地址http://www.zghlxwxcb.cn/news/detail-672180.html

到了這里,關(guān)于Hessian 反序列化RCE漏洞復(fù)現(xiàn)的文章就介紹完了。如果您還想了解更多內(nèi)容,請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • Fastjson反序列化漏洞(1.2.24 RCE)

    Fastjson反序列化漏洞(1.2.24 RCE)

    目錄 (一)Fastjson介紹 1、認(rèn)識Fastjson 1.1?序列化 1.2??反序列化 1.3?@type 自省 Autotype (二)漏洞原理 1、比較常用的攻擊類 1.1??com.sun.rowset.JdbcRowSetImpl 1.2?com.sun.org.apache.xalan.internal.xsltc.trax. TemplatesImp (三)1.2.24 RCE復(fù)現(xiàn) 1、vulnhub啟動 注意:Linux配置JRE版本 2、攻擊機(jī)監(jiān)聽(

    2024年02月07日
    瀏覽(32)
  • 網(wǎng)絡(luò)安全-JDBC反序列化漏洞與RCE

    網(wǎng)絡(luò)安全-JDBC反序列化漏洞與RCE

    ubuntu 20:ip 10.28.144.100,安裝docker、python3、docker-compose(可選)、Java(可選) windows11:ip 10.28.144.10,安裝了Java、wireshark、Navicat(可選)、IDEA(可選) Java中這些magic方法在反序列化的時候會自動調(diào)用: readObject() readExternal() readResolve() readObjectNoData() validateObject() finalize() Java

    2024年02月10日
    瀏覽(23)

  • Kafka反序列化RCE漏洞(CVE-2023-34040)

    Spring Kafka 是 Spring Framework 生態(tài)系統(tǒng)中的一個模塊,用于簡化在 Spring 應(yīng)用程序中集成 Apache Kafka 的過程,記錄 (record) 指 Kafka 消息中的一條記錄。 受影響版本中默認(rèn)未對記錄配置? ErrorHandlingDeserializer ,當(dāng)用戶將容器屬性? checkDeserExWhenKeyNull ?或? checkDeserExWhenValueNull ?設(shè)置為

    2024年02月06日
    瀏覽(32)
  • 反序列化漏洞及漏洞復(fù)現(xiàn)

    反序列化漏洞及漏洞復(fù)現(xiàn)

    問題 :為什么要序列化? 序列化,“將對象的狀態(tài)信息轉(zhuǎn)換為可以存儲或傳輸?shù)男问降倪^程”,這種形式大多為字節(jié)流、字符串、Json 串。在序列化期間內(nèi),將對象當(dāng)前狀態(tài)寫?到臨時或永久性的存儲區(qū)。以后,就可以通過從存儲區(qū)中讀取或還原(反序列化)對象的狀態(tài),重

    2024年02月09日
    瀏覽(27)
  • 漏洞復(fù)現(xiàn)——shiro反序列化

    漏洞復(fù)現(xiàn)——shiro反序列化

    今天咱們的主角是shiro反序列化命令執(zhí)行漏洞。該漏洞在HVV等大型攻防項(xiàng)目中,經(jīng)常被作為突破口。簡單介紹了解一下還是很有必要的。廢話不多說,進(jìn)入正題。 一、漏洞描述: Apache Shiro是美國阿帕奇(Apache)軟件基金會的一套用于執(zhí)行認(rèn)證、授權(quán)、加密和會話管理的Java安

    2024年02月09日
    瀏覽(25)
  • typecho 反序列化漏洞復(fù)現(xiàn)

    typecho 反序列化漏洞復(fù)現(xiàn)

    下載typecho14.10.10? 安裝,這里需要安裝數(shù)據(jù)庫 ?POC.php ?POST數(shù)據(jù)包如下,訪問install.php并攜帶參數(shù)finish,Referer來自本網(wǎng)站,POST傳遞惡意參數(shù) 步驟和前面一樣,把payload放__typecho_config=就行

    2024年02月09日
    瀏覽(27)
  • Fastjson反序列化漏洞復(fù)現(xiàn)小結(jié)

    Fastjson反序列化漏洞復(fù)現(xiàn)小結(jié)

    簡單來說:Fastjson是解析JSON格式的字符串的,允許用戶在輸入JSON串時通過“@type”鍵對應(yīng)的value指定任意反序列化類名,進(jìn)而執(zhí)行類里的惡意代碼。 1、Fastjson1.2.24遠(yuǎn)程代碼執(zhí)行(CNVD-2017-02833 ) 2、Fastjson=1.2.47遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2019-22238) 3、Fstjson =1.2.60 遠(yuǎn)程代碼執(zhí)行漏洞

    2023年04月08日
    瀏覽(25)
  • ActiveMQ反序列化漏洞原理+復(fù)現(xiàn)

    ActiveMQ反序列化漏洞原理+復(fù)現(xiàn)

    ActiveMQ反序列化漏洞 ActiveMQ ActiveMQ是開源消息總線,消息中間件 工作原理 通過使用消息隊(duì)列,實(shí)現(xiàn)服務(wù)的異步處理,主要目的是減少請求響應(yīng)時間和解耦合。 消息隊(duì)列,服務(wù)器A將客戶發(fā)起的請求放入服務(wù)器B的消息隊(duì)列中,服務(wù)器B從消息隊(duì)列中取出并處理。 從以上內(nèi)容中可

    2024年02月05日
    瀏覽(47)

  • Fastjson反序列化漏洞原理與復(fù)現(xiàn)

    Fastjson是java的一個庫,可以將Java對象轉(zhuǎn)化為json格式的字符串,也可以將json格式的字符串轉(zhuǎn)化為Java對象。 Fastjson提供了 toJSONString() 和 parseObject() 方法來將Java對象與JSON相互轉(zhuǎn)換。調(diào)用 toJSONString() 方法即可將對象轉(zhuǎn)換成 JSON 字符串, parseObject() 方法則反過來將JSON字符串轉(zhuǎn)換成

    2024年02月12日
    瀏覽(39)
  • shiro反序列化漏洞學(xué)習(xí)(工具+原理+復(fù)現(xiàn))

    shiro反序列化漏洞學(xué)習(xí)(工具+原理+復(fù)現(xiàn))

    工具準(zhǔn)備 1.java8 C:Program FilesJava 2.冰蝎 C:UsersaliDesktoptoolsBehinder_v4.0.6 3.shiro反序列化 圖形化工具 shiro attack2.2 C:UsersaliDesktoptoolsshiro_attack_2.2 4.shiro反序列化 命令行工具 C:UsersaliDesktoptoolsshiro_tool.jar 一.Shiro-550 CVE-2016-4437 序列化: 在Java中,把Java對象轉(zhuǎn)換為字節(jié)序列(

    2023年04月08日
    瀏覽(23)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包