java反序列化远程命令执行漏洞怎么检测
可以参考这篇文章:
本人虽然也有一定的研究,但不深入就不献丑解说了。
可供下已发现的一些影响版本:
weblogic:
– 9.2.3.0
– 9.2.4.0
– 10.0.0.0
– 10.0.1.0
– 10.0.2.0
– 10.2.6.0
– 10.3.0.0
– 10.3.1.0
– 10.3.2.0
– 10.3.4.0
– 10.3.5.0
– 12.1.1.0
JBOSS:
JBoss Enterprise Application Platform 6.4.4,5.2.0,4.3.0_CP10
JBoss AS (Wildly) 6 and earlier
JBoss A-MQ 6.2.0
JBoss Fuse 6.2.0
JBoss SOA Platform (SOA-P) 5.3.1
JBoss Data Grid (JDG) 6.5.0
JBoss BRMS (BRMS) 6.1.0
JBoss BPMS (BPMS) 6.1.0
JBoss Data Virtualization (JDV) 6.1.0
JBoss Fuse Service Works (FSW) 6.0.0
JBoss Enterprise Web Server (EWS) 2.1,3.0
此外还有 WebSphere,Jenkins 和 OpenNMS等,凡是使用了commons-collections.jar包的都会收到影响,此漏洞算是继STRUTS2漏洞,心脏滴血漏洞后的一个重量级漏洞,建议尽快修补
jboss版本哪些存在java反序列化漏洞的
jboss版本哪些存在java反序列化漏洞的
java反序列化漏洞是一类被广泛应用的漏洞,绝大多数的编程语言都会提供内建方法使用户可以将自身应用所产生的数据存入硬盘或通过网络传输出去。这种将应用数据转化为其他格式的过程称之为序列化,而将读取序列化数据的过程称之为反序列化。
当应用代码从用户接受序列化数据并试图反序列化改数据进行下一步处理时会产生反序列化漏洞。该漏洞在不同的语言环境下会导致多种结果,但最有危害性的,也是之后我们即将讨论的是远程代码注入。
【CVE-2016-4437】Shiro反序列化漏洞复现
Apache Shiro是一款开源的java安全框架,执行身份验证、授权、密码和会话管理。
Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为rememberMe的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
Apache Shiro =1.2.4
使用vulhub搭建环境
尝试登录,登录的返回包中有 rememberMe=deleteMe 字段
或者不登录,发送一个GET请求登录页面的包,把cookie改成rememberMe=1,返回包中也存在 rememberMe=deleteMe 字段
则可判断使用了shiro框架,接下来使用工具ShiroExploit 检测是否存在shiro反序列化漏洞
当命令框可输入,代表存在漏洞
可以勾选便捷操作,反弹shell,输入攻击机的ip和端口号,并在攻击机监听端口,然后点fire,成功获取目标的shell
Java反序列化安全漏洞怎么回事
反序列化顾名思义就是用二进制的形式来生成文件,由于common-collections.jar几乎在所有项目里都会被用到,所以当这个漏洞被发现并在这个jar包内实现攻击时,几乎影响了一大批的项目,weblogic的中枪立刻提升了这个漏洞的等级(对weblogic不熟悉的可以百度)。
至于如何使用这个漏洞对系统发起攻击,举一个简单的例子,我通过本地java程序将一个带有后门漏洞的jsp(一般来说这个jsp里的代码会是文件上传和网页版的SHELL)序列化,将序列化后的二进制流发送给有这个漏洞的服务器,服务器会自动根据流反序列化的结果生成文件,然后就可以大摇大摆的直接访问这个生成的JSP文件把服务器当后花园了。
如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。
所以这个问题的根源在于类ObjectInputStream在反序列化时,没有对生成的对象的类型做限制;假若反序列化可以设置Java类型的白名单,那么问题的影响就小了很多。
如何修复webphere java反序列化漏洞
1,装个电脑管家到电脑上
2,然后打开工具箱,找到修复漏洞的功能
3,最后对检测出来的电脑漏洞,一键修复就可以了
5.java反序列漏洞,涉及到哪些中间件
Boss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行。
然而事实上,博客作者并不是漏洞发现者。博客中提到,早在2015年的1月28号,Gabriel Lawrence (@gebl)和Chris Frohoff (@frohoff)在AppSecCali上给出了一个报告[5],报告中介绍了Java反序列化漏洞可以利用Apache Commons Collections这个常用的Java库来实现任意代码执行,当时并没有引起太大的关注,但是在博主看来,这是2015年最被低估的漏洞。
确实,Apache Commons Collections这样的基础库非常多的Java应用都在用,一旦编程人员误用了反序列化这一机制,使得用户输入可以直接被反序列化,就能导致任意代码执行,这是一个极其严重的问题,博客中提到的WebLogic等存在此问题的应用可能只是冰山一角。
虽然从@gebl和@froh
微信扫一扫 
支付宝扫一扫 
