Java 反序列化和 Shiro 反序列化

最新推荐文章于 2024-10-11 16:17:26 发布
最新推荐文章于 2024-10-11 16:17:26 发布
阅读量303 收藏 4
点赞数 2
分类专栏: 网络安全 文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57836225/article/details/142833685
版权

目录

Java 反序列化和 Shiro 反序列化

一、Java 反序列化

(一)序列化方法

(二)反序列化方法

二、Shiro 反序列化

(一)服务器对 cookie 的处理流程

(二)漏洞产生原因及利用

在这篇博客中,我们将深入探讨 Java 反序列化和 Shiro 反序列化的概念及过程。

一、Java 反序列化

在 Java 中,与其他编程语言不同,它具有独特的序列化和反序列化机制。

(一)序列化方法

ObjectOutputStream类中有一个writeObject方法,它可以实现序列化,其作用是把对象转换成字节流,便于保存或者传输,类似于其他编程语言中的serialize方法。

以下是一个简单的 Java 序列化示例代码:

import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;

class Person implements java.io.Serializable {
    private String name;
    private int age;

    public Person(String name, int age) {
        this.name = name;
        this.age = age;
    }

    public static void main(String[] args) {
        Person person = new Person("John", 30);
        try (FileOutputStream fos = new FileOutputStream("person.ser");
             ObjectOutputStream oos = new ObjectOutputStream(fos)) {
            oos.writeObject(person);
            System.out.println("Serialized object successfully.");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

(二)反序列化方法

而在ObjectInputStream类中有一个readObject方法,它是用来反序列化的,就像其他编程语言中的unserialize方法,其作用是把字节流还原成对象。

以下是对应的反序列化代码:

import java.io.FileInputStream;
import java.io.IOException;
import java.io.ObjectInputStream;

class Person implements java.io.Serializable {
    private String name;
    private int age;

    public Person(String name, int age) {
        this.name = name;
        this.age = age;
    }

    public static void main(String[] args) {
        try (FileInputStream fis = new FileInputStream("person.ser");
             ObjectInputStream ois = new ObjectInputStream(fis)) {
            Person person = (Person) ois.readObject();
            System.out.println("Deserialized object: Name - " + person.name + ", Age - " + person.age);
        } catch (IOException | ClassNotFoundException e) {
            e.printStackTrace();
        }
    }
}

二、Shiro 反序列化

Shiro 反序列化主要是因为 Apache Shiro 提供了一个叫做rememberMe的功能。当用户登录成功后,会生成经过加密并且编码的 cookie 保存在浏览器中,方便用户日常使用。

(一)服务器对 cookie 的处理流程

  1. 获取浏览器上保存的 cookie。
  2. 将其进行 base64 解码。
  3. 进行 AES 解密。
  4. 最后将其进行反序列化进行校验。

(二)漏洞产生原因及利用

如果程序员没有去修改 AES 的默认密钥或者修改之后过于简单,那么攻击者就可以通过进行 cookie 的重构来利用这个漏洞。具体步骤如下:

  1. 构造恶意代码。
  2. 将恶意代码进行序列化。
  3. 使用 AES 加密(假设密钥已爆破出来)。
  4. 进行 base64 编码,形成新的 cookie。

当服务器按照正常流程处理这个新的 cookie 时,就会加载攻击者构造的恶意代码,从而在服务端触发恶意代码。

希望这篇博客能帮助你更好地理解 Java 反序列化和 Shiro 反序列化的概念及过程。如果有任何疑问或建议,欢迎在评论区留言。

阿贾克斯的黎明
关注
专栏目录
ShiroExp-1.3.1-all.jar shiro反序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro反序列化检测工具 我这里是用于搭建攻防演练演示环境用
shiro反序列化脚本.zip
07-28
综上所述,这个压缩包包含的资源可以帮助我们理解和利用Apache Shiro反序列化漏洞。首先,我们需要使用ysoserial生成一个恶意的序列化对象,这可能涉及到选择一个合适的payload并配置相应的参数。然后,通过poc.py...
java反序列化shiro
m0_73973498的博客
02-18 760
Shiro是一个基于Java的强大且易于使用的开源安全框架,用于身份验证、授权、加密和会话管理。Shiro的设计目标是为应用程序提供简单但强大的安全性解决方案,使开发人员能够轻松地集成各种安全功能到他们的应用程序中。身份验证(Authentication):验证用户的身份是Shiro最基本的功能之一。Shiro支持多种身份验证方式,包括用户名密码验证、基于角色的验证、基于权限的验证等。授权(Authorization):授权是确定哪些用户可以访问应用程序中的哪些资源的过程。
反序列化-Shiro-550详细分析
鸣蜩十四的博客
07-18 1249
Shiro-550漏洞是攻击者直接就可以用密钥实现框架加密过程,在Cookie字段写入想要服务端执行的恶意代码,最后服务端在对cookie进行解密的时候(反序列化后)就会执行恶意代码
Java反序列化Shiro-550漏洞分析笔记
网络安全从业者的学习笔记
01-29 2035
ShiroAES加密-->Base64加密的过程,接收后会进行Base64解密-->AES解密-->反序列化进行验证身份信息。漏洞点在于AES加密为对称加密,而加密时利用的key为固定值,这就导致,我们可以生成一条恶意的payload,进而达到RCE的目的。
Java反序列化
buffedon的博客
09-05 4574
Java反序列化Java反序列化概念漏洞原理漏洞危害漏洞出现点漏洞挖掘漏洞防御序列化与反序列化代码参考文章 Java反序列化概念 在说反序列化之前,先说说序列化 序列化就是将对象转化为字节流,利于存储和被引用 反序列化与序列化恰恰相反,是将字节流转化为对象 序列化的格式:json序列化,xml序列化,二进制序列化,SOAP序列化 序列化调用的函数 序列化:java.io.ObjectOutputStream 类中的 writeObject() 实现 Serializable 和 Externaliz
Java Shiro反序列化CommonsCollections利用链分析
qq_44192006的博客
04-24 735
本文主要分析CC1利用链,先介绍了复现环境的搭建(该小节尽量帮大家避避坑,呜呜呜);然后紧跟着讲解了java反序列化和php反序列化漏洞的区别(希望大家不要有惯性思维认为反序列化漏洞都一样,其实java反序列化和php反序列化的差别还是很大的并介绍了复现学习java反序列化漏洞所需的一些前置知识;最后,也是文章的主体部分,从Sink(即可以触发执行命令的方法等)、chain及source(即利用链的入口点)三个步骤,讲述利用链的构建。纸上得来终觉浅,绝知此事要躬行。
[Java反序列化]—Shiro反序列化(一)
Sentiment的博客
06-27 2832
前篇进行了shiro550的IDEA配置,本篇就来通过urldns链来检测shiro550反序列化的存在Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。 那么,Payload产生的过程: 命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值 在整个漏洞利用过程中,比较重要的是AE
Java 反序列化
sky123博客
09-09 1151
反序列化基础 Java 的序列化(Serialization)和反序列化(Deserialization)是将对象的状态转换为字节流并恢复的过程。这个过程使对象可以保存到文件、通过网络传输或保存到数据库中,并在稍后恢复成对象。 序列化(Serialization):将 Java 对象的状态转换为字节流的过程。这使得对象可以保存到文件、发送到其他 JVM 甚至通过网络传输。 反序列化(Deserialization):将字节流转换回 Java 对象的过程。这允许恢复先前序列化的对象状态。 序列化条件 要使
[Java反序列化]—Shiro反序列化(二)
Sentiment的博客
06-28 1675
前篇通过urldns链来检测了shiro550反序列化的存在,本篇就通过CC链来进行shiro的代码执行shiro中默认是没有CC依赖的,所以需要我们自行加上直接用CC6的链来打,提示类加载不到是一个JVM的标记,说明实际上这是一个数组,也就是说不能加载这个。简单看下原因在shiro自定义的中,调用的是,而ois是的实例化跟进下,其中只有一个构造方法和,这个是在java原生反序列化时会调用的一个方法,这里对他进行了重写,retrun返回的是再看下原生类的 他return的则是,所以区别也就在这里shiro
Java代码审计&Shiro反序列化&DNS利用链&CC利用链&AES动态调试
qq_46081990的博客
01-20 1255
本文首先介绍了Java原生反序列化及其漏洞产生的原因,然后以代码审计的角度深入分析了Shiro550生成及验证RememberMe Cookie的流程,总结了Shiro550反序列化漏洞产生的根本原因,测试了URLDNS链,最后提出了一些思考
shiro反序列化工具,加强版
12-27
在"shiro反序列化工具,加强版"这个主题中,我们主要关注的是Shiro框架中可能存在的反序列化漏洞以及如何利用和防范这些漏洞。 反序列化漏洞是由于程序在接收到网络传输的数据后,将其从二进制流恢复为对象时没有...
shiro反序列化复现.zip
08-03
"shiro反序列化复现.zip"这个压缩包很可能是为了帮助开发者或者安全研究人员理解并重现Apache Shiro中的反序列化漏洞。 反序列化漏洞通常发生在程序接收来自不可信源的序列化对象时,如果这个对象包含了恶意构造的...
task【XTuner微调个人小助手认知】
m0_53291740的博客
10-07 807
下面我们将根据项目的需求一步步的进行修改和调整吧!在 PART 1 的部分,由于我们不再需要在 HuggingFace 上自动下载模型,因此我们先要更换模型的路径以及数据集的路径为我们本地的路径。为了训练过程中能够实时观察到模型的变化情况,XTuner 贴心的推出了一个。
Python编写的贪吃蛇小游戏
WwLK123的博客
10-03 717
Python编写贪吃蛇小游戏。
pytorch版本和cuda版本不匹配问题
分享计算机视觉,C++,网络摄像头研发,音视频开发,嵌入式等知识。
10-06 467
发现cuda11.8支持pytorch2.0.0。
如何使用Python爬虫处理JavaScript动态加载的内容?
最新发布
Z_suger7的博客
10-11 422
JavaScript动态加载的内容为爬虫带来了挑战,但也提供了新的机遇。通过使用Selenium、分析API请求或Pyppeteer,我们可以有效地爬取这些动态内容。这些方法各有优势,Selenium适合模拟复杂的用户交互,API请求适合直接获取数据,而Pyppeteer则提供了更强大的JavaScript控制能力。在实际应用中,开发者应根据目标网站的特点和需求选择合适的方法。随着技术的不断发展,我们也需要不断学习和适应新的工具和方法,以保持在数据获取领域的竞争力。复制再试一次分享。
LeNet-5(论文复现)
wei_shuo的博客
10-11 680
LeNet-5(论文复现)
shiro反序列化原理
06-25
关于反序列化(Deserialization)原理,Shiro 并不是直接处理反序列化的,但其在处理JSON或XML等外部数据格式时,可能会涉及到与序列化相关的安全性考虑。 当Shiro从存储(如数据库或配置文件)加载配置信息时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值