Apache Commons声明(link to statement):
通过组合易受攻击的应用程序的类路径上可用的各种类的readObject()方法,攻击者可以执行函数(包括调用Runtime.exec()来执行本地OS命令)。
有人可以给出具体的Java示例攻击者如何执行/注入本地操作系统命令?
答案 0 :(得分:3)
ysoserial项目是一个完全武器化的漏洞利用工具包,用于演示攻击者如何执行操作系统命令 对于使用java序列化的常见软件,它有payloads for common vulnerable libraries和exploit implementations。
攻击者只需识别一个在其路径上同时具有易受攻击的类的软件,并对不受信任的数据执行反序列化。
然后,他们需要做的就是将有效负载发送到解串器并进行繁荣,执行命令。
答案 1 :(得分:1)
此工具利用自2013年以来的序列化错误:https://github.com/joaomatosf/jexboss
最近我使用“Mad gadget”(该工具自动生成mad-gadget / commons-collection有效负载)对许多JSF应用程序进行了测试。
我按照此视频中的步骤操作:https://www.youtube.com/watch?v=VaLSYzEWgVE