Java Shiro反序列化CommonsCollections利用链分析_shiro 利用链(1)

最新推荐文章于 2025-11-01 18:09:44 发布
原创 最新推荐文章于 2025-11-01 18:09:44 发布 · 1k 阅读 · 29 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #android #开发语言

本文是博主的第一篇原创文章,同时博主也是边学java边进行分析的,如有知识性错误或逻辑性问题,希望大家多多批评

这条链是小菜鸡很久之前分析的一条链了,但当时没有写博客,这段时间有空了才来写,所以导致有一些技术细节可能讲的没有到位,因而导致文中有一些地方讲的不是很清楚或有些问题,欢迎大家在评论区或私信批评、交流。如果有什么不懂的,也可以看一下参考的四个链接,讲的都非常的好。

前言

本文主要分析CC1利用链,先介绍了复现环境的搭建(该小节尽量帮大家避避坑,呜呜呜);然后紧跟着讲解了java反序列化和php反序列化漏洞的区别(希望大家不要有惯性思维认为反序列化漏洞都一样,其实java反序列化和php反序列化的差别还是很大的);并介绍了复现学习java反序列化漏洞所需的一些前置知识;最后,也是文章的主体部分,从Sink(即可以触发执行命令的方法等)、chain及source(即利用链的入口点)三个步骤,讲述利用链的构建。

一、环境搭建

  1. JDK版
    本次复现是使用的jdk版本为    jdk1.8.0_65**。**
    官网下载地址为:https://www.oracle.com/cn/java/technologies/javase/javase8-archive-downloads.html
    注:从官网上下载时,下载的包一直不匹配,明明点的是8u65,但它一直显示其他版本,解决该问题的方法是将路径中的/cn给删掉,就可以正常下载了。
    在这里插入图片描述
    下载完毕后进行安装,然后就需要对IDEA进行配置:

(1) 首先点击File,然后又点击Project Structure
在这里插入图片描述
(2) 然后点击SDKs,将下载的jdk添加到该项目中:
在这里插入图片描述
2. CommonsCollections版本为3.2.1**。**
(1) 配置Maven依赖,下载CommonsCollections3.2.1版本,只需将下述配置添加到pom.xml中即可:

    <dependency>
        <groupId>commons-collections</groupId>
        <artifactId>commons-collections</artifactId>
        <version>3.2.1</version>
    </dependency>

在这里插入图片描述

(2) 后再Download Sources即可:
在这里插入图片描述
3. 下载相应源码
(1) 后续分析中需要用到sun包下的AnnotationInvocationHandler类文件,但是默认自带的是.class文件,源码是反编译出来的,不方便阅读,因此为了方便调试,需要将其转换为.java文件,需要我们安装源码,下载地址为:https://hg.openjdk.org/jdk8u/jdk8u/jdk/rev/af660750b2f4,下载左侧的zip文件即可。
在这里插入图片描述
(2) 然后解压,进入到相应JDK的文件夹中,里面本来就有个src.zip的压缩包,我们解

最低0.47元/天 解锁文章
Shiro反序列化漏洞利用详解(Shiro-550+Shiro-721
小宇的web博客
02-05 7788
Shiro反序列化漏洞利用详解(Shiro-550+Shiro-721Shiro简介 Apache Shiro 是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,Shiro框架直观、易用、同时也能提供健壮的安全性。 Apache Shiro反序列化漏洞分为两种:Shiro-550、Shiro-721 Shiro-550反序列漏洞 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对reme
Shiro反序列化漏洞利用笔记
文公子的博客
12-10 7776
Shiro反序列化漏洞利用笔记 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。目前在Java web应用安全框架中,最热门的产品有Spring Security和Shiro,二者在核心功能上几乎差不多,但Shiro更加轻量级,使用简单、上手更快、学习成本低,所以Shiro的使用量一直高于Spring Security。产品用户量之高,一旦爆发漏洞波及范围相当广泛,研究相关漏洞是很有必要的。 一、Shiro反序列化漏洞 1.1 安全框架 Apache Sh
Shiro 反序列化
最新发布
2502_91116367的博客
11-01 1012
摘要 本文详细分析了Apache Shiro 1.2.4及以下版本的反序列化漏洞(Shiro-550)。该漏洞源于RememberMe功能的AES加密机制存在缺陷:加密密钥硬编码为"kPH+bIxk5D2deZiIxcaaaA==",且未对反序列化进行安全过滤。攻击者可构造恶意Cookie,通过AES-CBC加密伪造序列化数据,最终触发ObjectInputStream.readObject()导致RCE。文章还提供了完整的漏洞环境搭建方法(JDK8u65+Tomcat8+Shiro1.
shiro反序列化之k1/2利用
weixin_45682070的博客
03-03 2120
前言 shiro的k1/k2条其实之前我已经分析过了,但是呢,没以文章的形式发出来。可能有点懒惰了。上篇文章我们一起看了t3协议,t3反序列化的修复手段是在resolveClass方法添加检查,增加黑名单的形式。而shiro是重写了resolveClass方法导致很多利用无法使用,但是shiro在编写的时候,并不是为了防御反序列化漏洞才去重写的resolveClass,但是就是这么一个无意间的举动,导致了防御住了大部分攻击。下面我们分析。 直接使用cc6 cc6的利用我们前面有,拿来直接用,默认key
Java Shiro反序列化CommonsCollections利用链分析
qq_44192006的博客
04-24 1156
本文主要分析CC1利用,先介绍了复现环境的搭建(该小节尽量帮大家避避坑,呜呜呜);然后紧跟着讲解了java反序列化和php反序列化漏洞的区别(希望大家不要有惯性思维认为反序列化漏洞都一样,其实java反序列化和php反序列化的差别还是很大的并介绍了复现学习java反序列化漏洞所需的一些前置知识;最后,也是文章的主体部分,从Sink(即可以触发执行命令的方法等)、chain及source(即利用的入口点)三个步骤,讲述利用的构建。纸上得来终觉浅,绝知此事要躬行。
Javaweb安全——反序列化漏洞-Shiro(CommonsBeanutils利用
weixin_43610673的博客
07-08 1918
先来看一段这个漏洞描述:这里使用的shiro应用demo为https://github.com/phith0n/JavaThings/tree/master/shirodemo测试的jdk版本为8u111 以及 8u211 都试过可以触发。的特征:处理cookie的流程:生成payload的流程:使用shiro内置的类 org.apache.shiro.crypto.AesCipherService进行AES加密,先要找到硬编码的key,然后写一个exp生成payload。key的位置位于(shiro...
Java Shiro反序列化CommonsCollections利用链分析_shiro 利用
2401_84969008的博客
05-17 1252
下面的分析是按照Source->Chain->Sink式原则进行反推的,其中Source为反序列化的入口(即重写了readObject方法的类),Chain为利用,Sink为可以执行任意命令或方法的危险函数。
精选资源
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
当这些操作不受限制时,恶意用户可以利用此漏洞,发送特制的序列化数据包,使得 Shiro反序列化过程中执行恶意代码。J1anfen 创建的 "shiro_attack_by J1anfen" 工具就是为了检测和验证这种漏洞的存在。 该工具...
Apache shiro 反序列化利用
m0_54850467的博客
09-01 930
*触发反序列化流程:****结合Dnslog与URLDNS方法有一个前提是DNS能出网。那么在不出网的情况下就需要找一个替代的方案了。结合SQL盲注的思路,可以考虑执行如下代码结合时间延迟进行判断,若系统是linux系统,则睡眠10s同理,可以考虑结合触发Java异常进判断,若系统返回对应的报错系统,或者返回通用的报错提示,说明当前的key和gadget组合是成功的:**...
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1
shiro反序列化复现.zip
08-03
shiro反序列化复现工具包;shiro反序列化复现工具包;
Shiro-EXP:Apache Shiro 反序列化漏洞检测与利用工具,一键注入内存马
05-26
项目介绍 基于Apache Shiro反序列化漏洞进行利用的探测,附内存马。 利用时需要修改POST请求两处数据,分别为Header头RememberMe字段值和携带的data数据(由于payload设定,data中须指定名字为c的参数值)。 探测到利用后,根据提示,将屏幕输出的payload粘贴至POST请求Header头RememberMe字段处,至于data携带的数据,自行决策,本文文末附内存马,可直接粘贴至data中使用,或自行生成指定命令的字节码片段替换。 与项目相关文章首发于: Shiro exp使用手册 Shiro rememberMe反序列化漏洞 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie,服务端对rememberMe的cookie值先base64解码然后AES解密再反序列化,就导
shiro反序列化搭建、利用、复现、漏洞原理
芜湖~米汤来喽~
01-07 2509
Shiro框架下框架供了记住密码的功能(RememberMe)用户登陆成功后会生成一个经过加密的Cookie其Cookie的RememberMe的Value的值是经过序列化、AES加密和base64编码后得到的结果。由于使用了AES加密,在Shiro1.2.4版本之前AES加密默认密钥的Base64编码值为kPH+bIxk5D2deZiIxcaaaA==,于是就可得到Payload的构造流程:恶意命令–>序列化–>AES加密–>base64编码–>发送Cookie–>回显数据–>数据解码。
shiro反序列化分析
2301_79724395的博客
06-11 1894
Apache Shiro 是一个 Java 安全框架,包括如下功能和特性:Authentication:身份认证/登陆,验证用户是不是拥有相应的身份。在 Shiro 中,所有的操作都是基于当前正在执行的用户,这里称之为一个 Subject,在用户任意代码位置都可以轻易取到这个Subject。
java反序列化漏洞利用工具_记一次实战中Shiro反序列化漏洞利用
weixin_39971435的博客
11-22 2797
一、Shiro反序列化漏洞发现0x01shiro失之交臂 还是上一篇文章的那个网站,从之前发的任意用户注册到文件上传失败再到反射型XSS就可看出来,我第一次并没有发现shiro反序列化漏洞。 由于在注册的时候只是关注了是否存在批量注册,然后注册成功之后就立马登录进去寻找上传点,因此对数据包没有进行详细的分析,因此没有发现shiro反序列化漏洞。如果后面...
Java反序列化利用挖掘之Shiro反序列化
HongYu012的博客
02-24 1318
在跟了一遍commons-collections系列的payload后,终于可以开始解决一下当时对shiro反序列化模凌两可的认识了。 当前,不管是国内实际的xx行动还是ctf比赛,shiro反序列化会经常看到。但在实际利用这个漏洞的时候,会发现我们无法在tomcat下直接利用shiro-sample中的commons-collections:3.2.1(2021-03-16更新,这里经p牛指正,shiro并没有依赖cc库,详情)。 我们前面已经对commons-collections系列利用...
TemplatesImpl 在Shiro中的利用学习1
dayouzi的博客
11-11 1602
在前面的学习中,我们学习了CC1、CC6,其中CC1受限于Java8u71版本,而CC6则是通杀的利用;后来又将 TemplateImpl 融入到 CommonsCollections 利用中,绕过了不能使用的限制,转用构造了CC3利用,一样可以执行任意Java字节码;同时通过 TemplatesImpl 构造的利用,理论上可以执行任意java代码,这是一种非常通用的代码执行漏洞,不受到对于的限制,特别是内存马逐渐流行以后,执行任意 java代码的需求就更加浓烈了。
shiro反序列化利用
07-29
Shiro 反序列化利用是一种攻击技术,利用 Apache Shiro 框架中的漏洞,通过序列化和反序列化的过程来执行恶意代码。这种攻击方式通常被用来绕过身份验证和授权机制,获取未经授权的访问权限。 具体来说,攻击者...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值