反序列化

在学习这个漏洞的过程中,发现需要很多的前置知识,比如java反序列化,RMI,JNDI那些东西,相关的学习可以参考这个文章专栏,虽然最后修改codebase进行利用失败,但还是收获不少。
XStream也是一款用的比较多的序列化组件,可以将object转化为XML并能完整的还原回来。他也曾经出现过反序列化漏洞,本文主要整理XStream相关的安全问题。
Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装。
这几天学习了BlackHat Europe 2019的议题《New Exploit Technique In Java Deserialization Attack》, 膜拜师傅们的同时,做一个简单的漏洞分析。
RMI的一个重要应用是JMX(Java Management Extentions),本文介绍JMX的几个攻击面:)
在计算机中,尤其是在网络应用中,称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息。
此篇文章为java反序列化系列文章的第一篇,后续会以ysoserial这款工具为中心,挨个的去分析其中的反序列化payload和gadget,讲完该工具后会继续对工具中没有的java 反序列化漏洞进行讲解。
之前就想过jndi注入能否实现回显,先看一遍jndi原理。
这篇文章主要总结本人调试ysoserial的CommonsCollections系列利用链的思考和体会,通过这篇文章希望大家能够了解CommonsCollections不同链之间的共性和区别。
本文借鉴外国的安全研究员的第二个思路,写了Rasp hook InvokeRemoteMethod函数的代码修改为gadget。