2. 程式人生 > 實用技巧 >Apache Dubbo反序列化漏洞(CVE-2019-17564)復現分析

Apache Dubbo反序列化漏洞(CVE-2019-17564)復現分析

阿新 發佈:2020-10-04

1、有理數類的設計

package number;

public class Rational {

	public int num;
	public int denom;

	public Rational(int num, int denom) {// 對有理數物件進行初始化
		
		this.num = num;
		this.denom = denom;
		
		if(num==0&&denom==-1) {//若分子為零則直接返回
			this.num=0;
			this.denom=-1;
			return;
		}

		if (denom == 0) {
			System.err.println("分母不得為零");
			return;
		}

		if (denom < 0) {// 將正負號設定到分子上
			this.num = -num;
			this.denom = -denom;
		}

		if (denom != 1) {// 若分母不為1則將分數化簡
			int a = Math.abs(num);
			int b = Math.abs(denom);
			int temp;
			if (a < b) { // 保證被除數大於除數
				temp = a;
				a = b;
				b = temp;
			}
			if (a % b != 0) {
				while (a % b != 0) { // 在餘數不為0時,進行迴圈
					temp = a % b;
					a = b;
					b = temp;
				}
			}
			this.num /= b;
			this.denom /= b;
		}
	}

	public void out() {// 輸出有理數物件
		System.out.println("(" + this.num + "," + this.denom + ")");
	}
	public Rational back() {
		return new Rational(0,1);
	}

	public Rational plus(Rational number) {// 加法運算
		int num = this.num * number.denom + number.num * this.denom;
		int denom = this.denom * number.denom;
		if(num==0)back();
		return new Rational(num, denom);
	}

	public Rational subtract(Rational number) {// 減法運算
		int num = this.num * number.denom - number.num * this.denom;
		int denom = this.denom * number.denom;
		if(num==0)back();
		return new Rational(num, denom);
	}

	public Rational multiply(Rational number) {// 乘法運算
		int num = this.num * number.num;
		int denom = this.denom * number.denom;
		if(num==0)back();
		return new Rational(num, denom);
	}

	public Rational divide(Rational number) {// 除法運算
		int num = this.num * number.denom;
		int denom = this.denom * number.num;
		if(num==0)back();
		return new Rational(num, denom);
	}
}

2、測試程式碼:

package test;

import number.Rational;

public class Test {
	public static void main(String[] args) {
		// 建立有理數物件
		Rational sc = new Rational(2, -8);
		Rational st = new Rational(-4, 8);
		sc.out();
		st.out();
		// 有理數的運算
		Rational sv = sc.plus(st);
		sv.out();
		sv = sc.subtract(st);
		sv.out();
		sv = sc.multiply(st);
		sv.out();
		sv = sc.divide(st);
		sv.out();
	}
}

4、嘗試描述怎麼與c語言的有理數程式碼相比較,為什麼你設計的類更加面向物件?

在函式的編寫、呼叫、類的例項化方面可以明顯看出java是通過物件這一概念來完成各種呼叫、生成和計算的。

5a、別人如何複用你的程式碼?

package包的匯入

5b、別人的程式碼是否依賴你的有理數類的屬性?當你的有理數類的屬性修改時,是否會影響他人呼叫你有理數類的程式碼?

依賴、有影響,包中類的屬性經確立後,使用該類的其他類就只能使用該類有且僅有的屬性和方法,不能對其修改。如屬性修改後,別人呼叫時可能要根據修改的內容增加或刪減引數才能實現呼叫

5c、有理數類的public方法是否設定合適?為什麼有的方法設定為private?

根據訪問許可權和修改許可權而定

相關推薦

Apache Dubbo序列漏洞CVE-2019-17564復現分析

漏洞描述 Apache Dubbo是一款高效能Java RPC框架,核心功能是方便麵向介面的遠端過程呼叫,叢集容錯和負載均衡,以及服務自動註冊與發現。

Apache Shiro 1.2.4序列漏洞CVE-2016-4437復現

Apache Shiro 1.2.4序列漏洞CVE-2016-4437復現 環境搭建 docker pull medicean/vulapps:s_shiro_1

ActiveMQ序列漏洞CVE-2015-5254復現

ActiveMQ序列漏洞CVE-2015-5254復現 導語 Apache ActiveMQ是美國阿帕奇Apache軟體基金會所研發的一套開源的訊息中介軟體,它支援Java訊息服務、叢集、Spring Framework等。

Apache Shiro 1.2.4序列漏洞CVE-2016-4437

0x01簡介 Apache Shiro是一款開源安全框架,提供身份驗證、授權、密碼學和會話管理。Shiro框架直觀、易用,同時也能提供健壯的安全性。

漏洞復現 - Apache Shiro 1.2.4序列漏洞CVE-2016-4437

漏洞原理 Apache Shiro 是 Java 的一個安全框架,可以幫助我們完成:認證、授權、加密、會話管理、與 Web 整合、快取等功能,應用十分廣泛。

漏洞復現系列】WebLogic XMLDecoder序列漏洞CVE-2017-10271

使用vulhub環境: https://github.com/vulhub/vulhub/tree/master/weblogic/CVE-2017-10271 啟動測試環境:

Joomla 3.4.5 序列漏洞CVE-2015-8562

Joomla 3.4.5 反序列化漏洞(CVE-2015-8562 2021年8月22日 21:22 漏洞介紹: 本漏洞根源是PHP5.6.13前的版本在讀取儲存好的session時,如果反序列化出錯則會跳過當前一段資料而去反序列化下一段資料。而Jooml

ActiveMQ序列漏洞CVE-2015-5254

0x01漏洞概述 ActiveMQ Web控制檯分為三個應用程式,admin,api和fileserver,其中admin是管理員頁面,api是介面,fileserver是儲存檔案的介面;管理員和 API 需要先登入才能使用,檔案伺服器不需要登入。

Weblogic &lt; 10.3.6 'wls-wsat' XMLDecoder 序列漏洞CVE-2017-10271

Weblogic的WLS Security元件對外提供webservice服務,其中使用了XMLDecoder來解析使用者傳入的XML資料,在解析的過程中出現序列漏洞,導致可執行任意命令。

Apache Dubbo序列漏洞

本文首發於“合天網安實驗室” 作者:合天網安學院 本文涉及靶場同款知識點練習

Apache Shiro序列漏洞復現CVE-2016-4437

0x00 Apache Shiro簡介 Apache Shiro是一款開源安全框架,提供身份驗證、授權、密碼學和會話管理。Shiro框架直觀、易用,同時也能提供健壯的安全性。

PHP序列漏洞1

技術標籤:基礎Web漏洞簡述php安全 背景 Serialize() //將一個物件轉換成一個字串

fastjosn序列漏洞歷史CVE學習整理

fastjosn 序列漏洞學習 fastjson 1.2.24序列漏洞復現 先寫一個正常的使用 fastjson的web服務

網路傳輸時既有管道流PipedInputStream 與 PipedOutStream又有序列化物件、反序列化物件ObjectOutputStream與 ObjectInputStream,還有在集合中、流中都有的身影的Properties究竟是何方神物?我們該怎麼選擇呢?

網路傳輸時既有管道流PipedInputStream 與 PipedOutStream又有序列化物件、反序列化物件ObjectOutputStream與 ObjectInputStream,還有在集合中、流中都有的身影的Properties究竟是何方神物?我們該怎麼選擇

Apache HTTPD 換行解析漏洞CVE-2017-15715漏洞復現

漏洞描述 Apache HTTPD是一款HTTP伺服器,它可以通過mod_php來執行PHP網頁。其2.4.0~2.4.29版本中存在一個解析漏洞,在解析PHP時,1.php\\x0A將被按照PHP字尾進行解析,導致繞過一些伺服器的安全策略。

Apache Ofbiz xmlrpc RCE漏洞CVE-2020-9496復現

Apache Ofbiz xmlrpc RCE漏洞CVE-2020-9496復現 簡介 Apache OFBiz全稱是The ApacheOpen For Business Project,是開一個放的電子商務平臺,也是一個非常著名的開源專案

漏洞通告】Apache Struts2遠端程式碼執行漏洞CVE-2021-31805

轉至:https://www.venustech.com.cn/new_type/aqtg/20220413/23713.html 0x00 漏洞概述 CVE   ID CVE-2021-31805

Tomcat PUT高危漏洞CVE-2017-12615復現分析

一、漏洞復現: BurpSuite抓包,傳送一個PUT的請求,資料包為冰蠍的馬 如果存在該漏洞,Response的狀態碼為201

Weblogic命令執行漏洞CVE-2018-2628復現

一、漏洞環境搭建 CVE-2018-2628影響的軟體版本為: Weblogic 10.3.6.0 Weblogic 12.1.3.0 Weblogic 12.2.1.2

Linux sudo許可權提升漏洞CVE-2021-3156復現

技術標籤:安全安全 漏洞概述 1月26日,Sudo釋出安全通告,修復了一個類Unix作業系統在命令引數中轉義斜槓時存在基於堆的緩衝區溢位漏洞。當sudo通過-s或-i命令列選項在shell模式下執行命令時,它將在命令引數