相关学习资料 目录 背景 2015年11月6日FoxGlove Security安全团队的@breenmachine 发布了一篇长博客,阐述了利用Java反序列化和Apache Commons Collections这一基础类库实现远程命令执行的真实案例,各大Java Web Server纷纷躺枪, ...
分类:
编程语言 时间:
2016-10-15 02:41:24
阅读次数:
372
15年出现的JAVA反序列化漏洞,另一个是redis配置不当导致机器入侵。只要redis是用root启动的并且未授权的话,就可以通过set方式直接写入一个authorized_keys到系统的/root/.ssh/目录下实现免密码登陆他人的Linux服务器。从而达到入侵成功的效果。fail2ban是 ...
分类:
其他好文 时间:
2016-10-03 19:08:27
阅读次数:
410
前言 关于java反序列化漏洞的原理分析,基本都是在分析使用Apache Commons Collections这个库,造成的反序列化问题。然而,在下载老外的ysoserial工具并仔细看看后,我发现了许多值得学习的知识。 至少能学到如下内容: 不同反序列化payload玩法灵活运用了反射机制和动态 ...
分类:
编程语言 时间:
2016-09-12 00:31:06
阅读次数:
545
2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行。 然而事 ...
分类:
编程语言 时间:
2016-09-12 00:29:34
阅读次数:
324
Java序列化与反序列化是什么?为什么需要序列化与反序列化?如何实现Java序列化与反序列化? Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。 为什么需要使用到序列化,两个不同的进程需要远程通信; 可以相互发送各种类型的数据,包括文本... ...
分类:
编程语言 时间:
2016-09-11 18:32:06
阅读次数:
146
1.sql server导入mysql 神器(速度不是一般的快) mss2sql.exe 2.java 反序列化工具 jd-gui.exe ...
分类:
数据库 时间:
2016-08-22 21:31:40
阅读次数:
149
之前一篇文章记录部署web代理修复漏洞通过部署web代理来修复JAVA反序列化漏洞,这篇通过打补丁来修复这个漏洞。详见(DocID2075927.1)系统环境如下所示:OS:OracleLinuxServerrelease6.164bitWeblogic:10.3.6具体操作如下步骤所示:1.备份备份备份2.一切操作安装补丁README来..
分类:
编程语言 时间:
2016-05-11 20:10:46
阅读次数:
533
Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。 2.为什么需要序列化与反序列化 我们知道,当两个进程进行远程通信时,可以相互发送各种类型的数据,包括文本、图片、音频、视频等, 而这些数据都会以二进制序列的形式在网络上传送。那么当两个J ...
分类:
编程语言 时间:
2016-05-05 15:56:16
阅读次数:
203
ava序列化与反序列化是什么?为什么需要序列化与反序列化?如何实现Java序列化与反序列化?本文围绕这些问题进行了探讨。 1.Java序列化与反序列化 Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。 2.为什么需要序列化与反序列化 我 ...
分类:
移动开发 时间:
2016-04-23 17:56:51
阅读次数:
163
近日乌云发邮件提示公司的某系统存在漏洞,有关weblogic,详细信息参考http://drops.wooyun.org/papers/13244修复方法http://drops.wooyun.org/web/13470本次使用Apache作为代理进行处理,也就是在weblogic服务器安装web(Apache或者nginx)代理应用,使web代理监听原有weblogic..
分类:
编程语言 时间:
2016-04-21 18:46:42
阅读次数:
702
