“Mad Gadget”(反序列化)漏洞Java示例?

时间:2017-03-03 13:53:34

标签: java deserialization apache-commons

Apache Commons声明(link to statement):

  

通过组合易受攻击的应用程序的类路径上可用的各种类的readObject()方法,攻击者可以执行函数(包括调用Runtime.exec()来执行本地OS命令)。

有人可以给出具体的Java示例攻击者如何执行/注入本地操作系统命令?

2 个答案:

答案 0 :(得分:3)

ysoserial项目是一个完全武器化的漏洞利用工具包,用于演示攻击者如何执行操作系统命令 对于使用java序列化的常见软件,它有payloads for common vulnerable librariesexploit implementations

攻击者只需识别一个在其路径上同时具有易受攻击的类的软件,并对不受信任的数据执行反序列化。
然后,他们需要做的就是将有效负载发送到解串器并进行繁荣,执行命令。

答案 1 :(得分:1)

此工具利用自2013年以来的序列化错误:https://github.com/joaomatosf/jexboss

最近我使用“Mad gadget”(该工具自动生成mad-gadget / commons-collection有效负载)对许多JSF应用程序进行了测试。

我按照此视频中的步骤操作:https://www.youtube.com/watch?v=VaLSYzEWgVE