低漏报检测Java反序列化漏洞方法

1、不需要目标系统存在漏洞的第三方库,直接使用JDK自带的URL类发起dns请求,dns请求一般可以出网,所以漏报应该很低。

2、工具break-fast-serial,需要自己改造下把URLDNS的payload加到里面,启动dnschef

dnschef1.png

3、DNS解析设置

dns1.png

4、测试

url2.png

result1.png

5、检测到存在反序列化漏洞的点在具体进行绕过

标签: Java反序列化漏洞, 低漏报检测

已有 4 条评论

  1. [...]http://www.polaris-lab.com/index.php/archives/331/[...]

  2. [...]http://www.polaris-lab.com/index.php/archives/331/[...]

  3. huhu huhu

    咋没看懂呢?求再详细一点

    1. http://gosecure.net/2017/03/22/detecting-deserialization-bugs-with-dns-exfiltration/

添加新评论