JAVA代码审计之Shiro反序列化漏洞分析

于 2024-04-29 05:34:07 发布
阅读量730 收藏 19
点赞数 28
分类专栏: 程序员 文章标签: java php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78399550/article/details/138298918
版权

  • 序列化过程分析

  • 反序列化的分析

  • 漏洞利用

  • 总结

前言

=====================================================================

在前面的一篇文章:Apache Shiro Java反序列化漏洞复现 曾介绍了 CVE-2016-4437 漏洞的复现过程和利用方式,为了不再当个“脚本小子”工具人…本文将记录学习下从源码审计的角度分析 CVE-2016-4437 漏洞的原理。

Java反序列化

===========================================================================

同样的在前面一篇博文:Java-序列化与反序列化 已经讲述了 Java 序列化和反序列化的概念,此处简单再描述下。

把对象转换为字节序列的过程称为对象的序列化;把字节序列恢复为对象的过程称为对象的反序列化。

对象的序列化主要有两种用途:

  1. 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中(持久化对象);

  2. 在网络上传送对象的字节序列(网络传输对象)。

当两个进程在进行远程通信时,彼此可以发送各种类型的数据。无论是何种类型的数据,都会以二进制序列的形式在网络上传送。发送方需要把这个Java 对象转换为字节序列,才能在网络上传送;接收方则需要把字节序列再恢复为 Java 对象。

Java序列化实例

来看一个实际的例子:

import java.io.Serializable;

public class People implements Seri

最低0.47元/天 解锁文章
柏林的冬
关注
  • 28
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA代码审计Shiro反序列化漏洞分析(1)
2301_78399550的博客
04-29 472
整理的这些资料希望对Java开发的朋友们有所参考以及少走弯路,本文的重点是你有没有收获与成长,其余的都不重要,希望读者们能谨记这一点。其实面试这一块早在第一个说的25大面试专题就全都有的。以上提及的这些全部的面试+学习的各种笔记资料,我这差不多来回搞了三个多月,收集整理真的很不容易,其中还有很多自己的一些知识总结。正是因为很麻烦,所以对以上这些学习复习资料感兴趣,整理的这些资料希望对Java开发的朋友们有所参考以及少走弯路,本文的重点是你有没有收获与成长,其余的都不重要,希望读者们能谨记这一点。
漏洞分析 | 经典的Shiro反序列化
2301_80115097的博客
03-26 1521
其实这个还是得学习学习加密解密的方法,才能进行编写poc,但是此处只是了解个思路。具体可参考其他文章;声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等应急响应笔记学习路线。
Jeecms弱口令和shiro反序列化RCE渗透测试记录
kelenwait的博客
07-03 9076
简介 Jeecms 是一个开源企业客户关系管理快速开发基础平台,Java企业应用开源框架,Java EE(J2EE)快速开发框架,使用经典技术组合(Spring、Spring MVC、Apache Shiro、hibernate4、EasyUI、Jqgrid、Bootstrap UI),核心模块如:组织机构、角色用户、权限授权、数据权限、内容管理、工作流等功能。 在企业官网、新闻站点、OA资源管理等多个领域都有应用。 由于使用的Apache Shiro 是低版本的,存在shiro反序列漏洞漏洞影响 弱口
Shiro反序列化漏洞原理详解及复现(1),Golang开发的基础知识
最新发布
2401_84254177的博客
04-18 339
不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!生成CC链,再次按照上述方式发送,执行命令为反弹shell(CC6可打通),注意vulhub靶机本身没有nc,如果使用nc需要先上传。删除JSESSIONID(当该字段存在时,不检测rememberMe),修改rememberMe为加密后的值发送。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
shiro反序列化搭建、利用、复现、漏洞原理
芜湖~米汤来喽~
01-07 1505
Shiro框架下框架供了记住密码的功能(RememberMe)用户登陆成功后会生成一个经过加密的Cookie其Cookie的RememberMe的Value的值是经过序列化、AES加密和base64编码后得到的结果。由于使用了AES加密,在Shiro1.2.4版本之前AES加密默认密钥的Base64编码值为kPH+bIxk5D2deZiIxcaaaA==,于是就可得到Payload的构造流程:恶意命令–>序列化–>AES加密–>base64编码–>发送Cookie–>回显数据–>数据解码。
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Shiro反序列化漏洞检测工具
01-05
Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的反序列化漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统进行非法操作。 反序列化漏洞通常出现在应用程序接收到...
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果...
shiro反序列化漏洞检测工具,含链接教程
08-17
使用方法如描述所示,通过命令行输入`java -jar shiro_tool.jar`后跟目标服务器的URL,工具会尝试识别并测试该服务器是否存在Shiro反序列化漏洞。`readme.txt`可能是提供关于如何使用该工具以及漏洞原理的详细说明。...
Java代码审计&Shiro反序列化&CB1链&source入口&sink执行&gadget链
qq_46081990的博客
01-22 1771
本文详细介绍了Shiro550 Commons BeanUtils反序列化利用链,以代码审计的角度跟踪分析Commons BeanUtils链的source、sink以及gadget,解释了该链触发反序列化漏洞并最终造成RCE命令执行的根本原因是什么,并且在最后深入分析了Commons BeanUtils链payload的生成逻辑。
shiro550代码审计(巨详细)--加密部分
zyer
03-16 5732
找了一下大佬的文章借鉴了一下shiro550的利用流程 (Shiro 550 反序列化漏洞 详细分析+poc编写) 简单介绍利用: 通过在cookie的rememberMe字段中插入恶意payload, 触发shiro框架的rememberMe的反序列化功能,导致任意代码执行。 shiro 1.2.24中,提供了硬编码的AES密钥:kPH+bIxk5D2deZiIxcaaaA== 由于开发人员未修改AES密钥而直接使用Shiro框架,导致了该问题 于是我们......
Java 代码审计——shiro 1.2.4反序列化(CVE-2016-4437)
王嘟嘟的博客
12-17 2210
0x00 前言 shiro124是一个比较老的反序列化漏洞了,一直都没有对这个漏洞进行深刻的了解,直到学习了CC链之后,回过头来在看,才知道所有一切的真相~ 0x01 shiro124 简单的说shiro是一个认证框架,用来做认证的。 124的反序列化也是非常简单: shiro利用的首先是rememberMe的反序列化过程,过程分为三步: base64解码 解密 反序列化 同样序列化也分为三步: 反序列化 加密 base64解密 其中最重要的就是加密了,如果没有加密的秘钥就没有办法进行伪造,这里感谢
漏洞复现】Apache系列(一)之Shiro漏洞复现
qq_45244158的博客
02-23 4858
Apache Shiro550反序列化(CVE-2016-4437)漏洞 Apache Shiro 认证绕过漏洞(CVE-2020-1957) 漏洞
[JavaWeb]Shiro漏洞集合——代码审计
weixin_45566993的博客
01-25 401
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 Shiro漏洞集合 Shiro其实就是一组Filter,他会进行验证,鉴权,会话 Management,再把请求转到web过滤器。所以最好先去对Shiro有个整体性的了解。 复现环境:https://github.com/ttestoo/java-sec-study/tree
shiro反序列化漏洞工具
05-23
Shiro 反序列化漏洞指的是 Apache Shiro 框架在处理用户输入的 Session 数据时没有正确地对反序列化进行限制,导致攻击者可以构造恶意的序列化数据来执行任意代码。攻击者可以利用这个漏洞来获取系统权限、窃取敏感信息等。 针对 Shiro 反序列化漏洞,已经有一些工具可以用于检测和利用该漏洞,例如: 1. ShiroExploit:Shiro 反序列化漏洞利用工具,可用于远程执行命令、反弹 shell 等。 2. ShiroScan:Shiro 反序列化漏洞扫描工具,可以扫描目标主机是否存在 Shiro 反序列化漏洞,并输出扫描结果。 3. Shiro-550-Payloads:Shiro 反序列化漏洞 Payload,包含多种恶意代码,可供测试和漏洞利用使用。 需要注意的是,使用这些工具需要遵守法律法规,仅限于进行合法授权的安全测试和研究。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值