IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

【技术分享】如何攻击Java反序列化过程

发布时间:2017-08-18 00:46文章来源:安全客文章作者: 興趣使然的小胃点击次数:
译者: 興趣使然的小胃 预估稿费:200RMB 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 一、前言 现在反序列化(deserialization)漏洞早已不是新鲜事物(如这几处参考资料[1][2][3][4]),但与其他类别漏洞相比,反序列化漏洞的利用过程涉及更

http://p2.qhimg.com/t016fc57e850f0f9518.png

译者:興趣使然的小胃

预估稿费:200RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


一、前言


现在反序列化(deserialization)漏洞早已不是新鲜事物(如这几处参考资料[1][2][3][4]),但与其他类别漏洞相比,反序列化漏洞的利用过程涉及更多方面的因素。在应邀对客户进行渗透测试时,我成功利用Java反序列化漏洞获得了某台服务器的权限,利用这台服务器,我获得了数十台服务器的root访问权限,这些服务器横跨多个数据中心,部署了各种预生产以及生产环境。在之前多次渗透测试中,安全人员都没有发现过这个漏洞,如果我之前没接触过Java序列化及反序列化方面的知识,我肯定也会错过这个漏洞。

在本文中,我会尝试理清大家对反序列化漏洞的一些误解及困扰,希望能通过工具的使用来降低反序列化漏洞利用的技术门槛。我主要针对的是Java语言,但所涉及的原理同样也适用于其他语言。此外,我会重点分析命令执行的利用方法,以保持主题的简洁性。
【技术分享】如何攻击Java反序列化过程
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/netsafe/xitong/1049475.html

标签分类:

上一篇:上一篇:如何使用EternalRomance获得Windows Server 2016上的Meterpreter
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量