shiro反序列化和log4j

最新推荐文章于 2024-08-23 14:43:00 发布
最新推荐文章于 2024-08-23 14:43:00 发布
阅读量574 收藏
点赞数 1
分类专栏: 渗透测试 网络安全 文章标签: log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56578216/article/details/133756601
版权
本文介绍了Apache Shiro框架的记住我功能导致的反序列化漏洞,详细解析了漏洞的利用过程,并展示了如何通过构造恶意对象触发漏洞。同时,文章还讨论了Log4j的安全问题,解释了由于未限制字符合法性,执行JNDI协议导致的远程命令执行漏洞,提醒开发者关注含有特定关键字的日志输出,以防止潜在的Java漏洞攻击。
摘要由CSDN通过智能技术生成

文章目录

安装环境

进入vulhb目录下的weblogic,复现CVE-2018-2894漏洞:

cd /vulhub/shiro/CVE-2010-3863

查看docker-compose的配置文件:

cat docker-compose.yml

如图,里面有一个镜像文件的信息和服务名,以及它的端口号(后面要用):

在这里插入图片描述

然后使用下面命令,搭建docker-compose并启动:

sudo docker-compose up -d && sudo docker-compose up -d

如图,安装成功:
在这里插入图片描述

shiro漏洞验证

原理如下

Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie,在服务端接收cookie值后,Base64解码–>AES解密–>

了解本专栏 订阅专栏 解锁全文 超级会员免费看
EMT00923
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
java后台SSM实战项目,查询和修改
12-21
12. **JSON数据格式**:后端与前端通信通常使用JSON格式的数据,使用Jackson或Gson库进行JSON序列化和反序列化。 13. **安全性考虑**:可能涉及到Spring Security或Apache Shiro进行权限管理,防止未授权访问。 ...
框架漏洞--->Log4j2 && Shiro1.2.4反序列化基础
huohaowen的博客
03-06 1375
本文涉及log4j2 ,反序列化基础,Kerberos,Docker
log4jshiro反序列化
weixin_71090536的博客
10-17 90
shiro 反序列化可以一键利用shiro 是 java 的框架,分版本shiro 框架:一个安全的用于管理 java 网站登录授权的框架shiro 框架之所以安全:是因为其传输过程 admin —> 序列化 —> aes 加密 —> base64编码最后攻击者只能拿到 base64 加密的密文,可以解密 base64,但若想解密aes则必须要有密钥,但由于 shiro 框架在传输过程中不传输密钥,故无法进行解密无法获得序列化后的字符串,也就无法利用反序列化漏洞。
shiro反序列化
qq_64201116的博客
03-11 1047
shiro反序列化超完整超细节
Java代码审计&Shiro反序列化&DNS利用链&CC利用链&AES动态调试
qq_46081990的博客
01-20 1212
本文首先介绍了Java原生反序列化及其漏洞产生的原因,然后以代码审计的角度深入分析了Shiro550生成及验证RememberMe Cookie的流程,总结了Shiro550反序列化漏洞产生的根本原因,测试了URLDNS链,最后提出了一些思考
java反序列化shiro
m0_73973498的博客
02-18 737
Shiro是一个基于Java的强大且易于使用的开源安全框架,用于身份验证、授权、加密和会话管理。Shiro的设计目标是为应用程序提供简单但强大的安全性解决方案,使开发人员能够轻松地集成各种安全功能到他们的应用程序中。身份验证(Authentication):验证用户的身份是Shiro最基本的功能之一。Shiro支持多种身份验证方式,包括用户名密码验证、基于角色的验证、基于权限的验证等。授权(Authorization):授权是确定哪些用户可以访问应用程序中的哪些资源的过程。
JAVA反序列化学习--shiro反序列化分析
qq_53003652的博客
09-27 246
最近参加了某攻防活动,也是遇到了很多的shiro反序列化,上手后也是直接拿起工具就用,原理也仅仅是了解,菜鸟对于shiro也是有太多不了解的,接下来就详细分析一下shiro反序列化产生的原理。
一文了解反序列化漏洞
allintao的博客
03-21 947
通过再cookie的rememberme字段中插入恶意payload触发shiro框架的rememberme的反序列化功能,导致任意代码执行shiro1.2.24中,提供了硬编码的AES密钥:kPH+bIxk5D2deZiIxcaaaA==由于开发人员未修改AES密钥而直接使用shiro框架,导致了该问题Fastjson是java的一个库,可以通过toJSONString()方法。
Shiro安全(一):Shiro-550反序列化
weixin_43263451的博客
08-01 1771
Shiro550(CVE-2016-4437),其在护网期间担任重要的角色,也有很多的利用工具。本文将详细介绍Shiro550漏洞原理其实可以将AbstractRememberMeManager#getRememberedPrincipals当做主函数,其中getRememberedSerializedIdentity方法负责base64解码,convertBytesToPrincipals负责AES解密并反序列化。......
17-java安全——shiro1.2.4反序列化分析(CVE-2016-4437)
网络安全
09-06 1850
漏洞原理 在shiro1.2.4版本中,用户认证信息rememberMe通常会进行Base64编码和AES加密存储在cookie中,当shiro安全框架对用户身份进行认证时,会对rememberMe的内容进行Base64解码和AES解密,然后反序列化还原成java对象,由于rememberMe可控,攻击者则可以利用rememberMe来构造恶意数据,产生反序列化漏洞。 漏洞环境 shiro1.2.4 jdk7u80 漏洞复现 在github下载shiro1.2.4版本,下载链接:
Java代码审计工程师 视频教程 下载 百度网盘链接4.zip
06-19
├─22.log4j反序列化 │ apache-log4j-poc-main.zip │ market.zip │ ├─23.shiro反序列化shiro-shiro-root-1.2.4.zip │ shiro漏洞复现工具.zip │ ├─24.spel表达式注入 │ spring-...
JAVA办公自动化系统(源代码+LW+外文翻译).rar
09-06
8. **轻量级组件(LW)**:这里的"LW"可能是指一些轻量级的Java库或者组件,比如用于日志记录的Log4j、用于JSON序列化的Jackson或Gson,或者轻量级的数据库连接池HikariCP等。 9. **源代码分析**:通过阅读和理解源...
Java代码审计工程师 视频教程 下载 百度网盘链接3.zip
06-19
├─22.log4j反序列化 │ apache-log4j-poc-main.zip │ market.zip │ ├─23.shiro反序列化shiro-shiro-root-1.2.4.zip │ shiro漏洞复现工具.zip │ ├─24.spel表达式注入 │ spring-...
Java代码审计工程师 视频教程 下载 百度网盘链接1.zip
06-19
├─22.log4j反序列化 │ apache-log4j-poc-main.zip │ market.zip │ ├─23.shiro反序列化shiro-shiro-root-1.2.4.zip │ shiro漏洞复现工具.zip │ ├─24.spel表达式注入 │ spring-...
ViewModel(8)单元测试
challenge51all的专栏
08-23 144
对 ViewModel 进行单元测试可以确保其数据处理逻辑的正确性和稳定性。这样的单元测试可以帮助我们在代码更改时快速发现。中数据处理逻辑可能出现的问题。
VS Code中基于MSTest编写和运行测试
oscar999的专栏
08-20 1115
MS Test(Microsoft Test Framework)是微软提供的一个用于.NET应用程序的单元测试框架。以下是一个使用MS Test进行单元测试的示例,该示例将涵盖测试的基本步骤和概念。
基于微信小程序网上商城设计设计与实现.docx
最新发布
08-23
基于微信小程序网上商城设计设计与实现.docx
各种业务架构图.pdf
08-23
各种业务架构图.pdf
shiro反序列化检测
12-18
Shiro反序列化检测是指对Shiro框架可能存在的反序列化漏洞进行检测和防护的一种安全措施。通过该方法,可以防止黑客利用Shiro框架的反序列化漏洞进行攻击。 Shiro是Java领域中广泛使用的开源安全框架,用于认证、授权和会话管理等安全功能。然而,由于Java的序列化和反序列化机制的特性,可能导致应用程序在反序列化时存在安全风险。黑客可以通过构造恶意序列化数据,导致应用程序反序列化时执行恶意代码,从而实施攻击,比如远程代码执行、命令注入等。 为了防止这种安全风险,可以在Shiro框架中添加反序列化检测机制。这个机制可以对反序列化的数据进行检查,确保其合法性,并防止执行恶意代码。常见的防护方法包括: 1. 设置白名单:限制反序列化的类的类型和来源,只允许反序列化特定的类。 2. 安全配置:对Shiro框架及相关功能进行正确的安全配置,合理设置权限和角色。 3. 使用SafeXMLDecoder:SafeXMLDecoder是一个安全的XML反序列化工具,可以对输入数据进行验证和过滤,阻止恶意代码的执行。 此外,定期更新Shiro框架和依赖库,确保及时获取最新的安全补丁也是非常重要的。同时,开发人员也需要对Shiro框架和反序列化漏洞有一定的了解,及时关注相关安全动态,以便及时修复和更新。 总之,Shiro反序列化检测是一项重要的安全措施,可以有效预防黑客利用反序列化漏洞对Shiro框架进行攻击。通过合理的安全配置和验证机制,可以提高应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

EMT00923

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值