47、WEB攻防——通用漏洞&Java反序列化&EXP生成&数据提取&组件安全

文章目录

序列化和反序列化的概念:

  • 序列化:把java对象转换成字节流的过程;
  • 反序列化:把字节流恢复为java对象的过程。

对象的序列化主要有两种用途:

  1. 把对象的字节流永久的保存在硬盘上,通常存放在一个文件中(持久化对象);
  2. 在网络上传送对象的字节流(网络传输对象)。

序列化数据:

  • 功能特性
    反序列化操作一般应用在导入模板文件、网络通信、数据传输、日志格式化存储或DB存储等业务场景,因此审计中重点关注这些功能板块。
  • 数据特性
    一般数据以rO0AB开头,基本上可以确定这串就是JAVA反序列化base64加密的数据;如果aced(16进制)开头,那么它就是一段java序列化的16进制数据。
  • 序列化可能出现
    http参数、cookie、session、存储方式可能是base64(rO0),压缩后的base64(H4s),MLL等;
    Serverts http、Sockets、Session管理器,包含的协议包括:JMX、RMI、JMS、JND1等

发现

黑盒分析:数据库出现地------观察数据特性

白盒分析:组件安全&函数搜索&功能模块

序列化函数API:

  • JAVA:serializableExtemailzablefastjsonjacksongsonObjectInputStream.readObjectObjectInputStream.readUnshared等;
  • PHP:serialize()unserialize()
  • Python:pickle

生成java反序列化payload工具-ysoserial

使用ysoserial时,若要根据某个外部包生成payload,可以将该包复制到ysoserial目录下,确保paylaod的生成更加可靠。
ysoserial最终生成的payload是aced(16进制)的字节流,若需要编码应该进一步进行编码。

swagger接口:swagger-ui.html

JAVA反序列化解密工具:SerializationDumper

java特定组件:shirojboos

网鼎杯朱雀组2020 Think java

网鼎杯朱雀组2020 Think java

查看源代码发现swagger-ui api接口,url地址后面加上./swagger-ui.htm,结果如下图:

相关推荐
世间万物皆对象23 分钟前
Spring Boot核心概念:日志管理
java·spring boot·单元测试
没书读了1 小时前
ssm框架-spring-spring声明式事务
java·数据库·spring
----云烟----1 小时前
QT中QString类的各种使用
开发语言·qt
lsx2024061 小时前
SQL SELECT 语句:基础与进阶应用
开发语言
小二·1 小时前
java基础面试题笔记(基础篇)
java·笔记·python
开心工作室_kaic1 小时前
ssm161基于web的资源共享平台的共享与开发+jsp(论文+源码)_kaic
java·开发语言·前端
向宇it1 小时前
【unity小技巧】unity 什么是反射?反射的作用?反射的使用场景?反射的缺点?常用的反射操作?反射常见示例
开发语言·游戏·unity·c#·游戏引擎
懒洋洋大魔王1 小时前
RocketMQ的使⽤
java·rocketmq·java-rocketmq
武子康1 小时前
Java-06 深入浅出 MyBatis - 一对一模型 SqlMapConfig 与 Mapper 详细讲解测试
java·开发语言·数据仓库·sql·mybatis·springboot·springcloud
转世成为计算机大神2 小时前
易考八股文之Java中的设计模式?
java·开发语言·设计模式