Commons Collections Java反序列化漏洞利用
2016-04-11 10:38
615 查看
0x00 漏洞原理与成因
漏洞作者写的技术分析:http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/
腾讯TSRC: https://security.tencent.com/index.php/blog/msg/97
条件:
1. 存在反序列化对象数据传输。
2. 有缺陷的
0x01 影响范围与数据统计
http://www.cert.org.cn/publish/main/9/2015/20151229124452251205640/20151229124452251205640_.html
0x03 发现目标
https://www.zoomeye.org/ https://www.shodan.io/ https://www.seebug.org/monster/
0x04 漏洞利用过程
payload生成工具ysoserial:
http://www.cdxy.me/java/jboss-vulnerability/
http://www.iswin.org/2015/11/13/Apache-CommonsCollections-Deserialized-Vulnerability/
漏洞作者写的技术分析:http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/
腾讯TSRC: https://security.tencent.com/index.php/blog/msg/97
条件:
1. 存在反序列化对象数据传输。
2. 有缺陷的
Apache Commons Collections第三方库在lib路径中。
0x01 影响范围与数据统计
http://www.cert.org.cn/publish/main/9/2015/20151229124452251205640/20151229124452251205640_.html
0x03 发现目标
https://www.zoomeye.org/ https://www.shodan.io/ https://www.seebug.org/monster/
0x04 漏洞利用过程
payload生成工具ysoserial:
http://www.cdxy.me/java/jboss-vulnerability/
http://www.iswin.org/2015/11/13/Apache-CommonsCollections-Deserialized-Vulnerability/
相关文章推荐
- eclipse项目有时不能启动原因
- Java单链表反转 详细过程
- springMVC两种实现多文件上传及效率比较
- java下载、安装与配置
- 关于Eclipse的git功能(egit插件)执行replace 依然显示差异问题的处理
- eclipse
- Spring JDBC 编译出错
- 【转载】Java垃圾回收机制
- Java ActiveMQ连接池使用
- java反射原理
- PropertyAccessException 1: org.springframework.beans.MethodInvocationException
- Java线程池的使用
- 关于电脑安装多个版本JDK后使用时的切换
- java获取客户端访问ip
- java多线程批量执行的时限问题
- java new synchronized
- 邮件功能开发--JavaMail
- 简单Struts2的目录结构
- Java-常用类
- struts2 乱码问题