Java面试超详细知识点!JAVA代码审计之Shiro反序列化漏洞分析

最新推荐文章于 2024-04-15 05:58:23 发布
VIP文章 最新推荐文章于 2024-04-15 05:58:23 发布
阅读量646 收藏
点赞数
分类专栏: 程序员 文章标签: 后端 java 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58269520/article/details/119391442
版权 
    // 2. 调用ObjectInputStream对象的readObject()得到序列化的对象

    ObjectInputStream ois = new ObjectInputStream(new FileInputStream(new File("d:/People.txt")));

    People people1 = (People) ois.readObject();

    System.out.println("people对象反序列化成功!");

    System.out.println(people1.getName());

    System.out.println(people1.getAge());

}

}




代码运行结果:

people对象序列化成功!

people对象反序列化成功!

xiaoming

18




序列化过程将字节流保存在 d:/People.txt 中,我们可以在 d:/People.txt 看到序列化后的二进制对象(其中开头的 aced 0005 是 Java 序列化文件的文件头):  

![在这里插入图片描述](https://img-blog.csdnimg.cn/7864997cd6394c49993d994ea0b43ae9.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTE5MDg5Nw==,size_16,color_FFFFFF,t_70)  

**反序列化漏洞**



回想一下 CTF 比赛经常遇到的 PHP 的反序列化漏洞,反序列化对象时会调用类的魔法函数`__construct()`(创建对象时触发),我们可以构造 pop 链来控制(改造)`__construct()函`数,从而反序列化时执行我们需要的操作,Java 也是类似。



在上面的代码中,我们通过调用 readObject() 方法来从一个源输入流中读取字节序列,再把它们反序列化为一个对象,那么我们如果控制了此类的 readObject() 方法会怎么样?为了验证想法,我们修改一下 People 类,重写其 readObject() 方法:

public class People implements Serializable { 

//添加以下方法,重写People类的readObject()方法

private void readObject(java.io.ObjectInputStream in) throws IOException, ClassNotFoundException{

    //执行默认的readObject()方法

    in.defaultReadObject();

    //执行打开计算器程序命令

    Runtime.getRuntime().exec("calc.exe");

}

}




运行程序,当执行`People people1 = (People) ois.readObject();`语句时会调用 People 类的 readObject 方法,弹出计算器:  

![在这里插入图片描述](https://img-blog.csdnimg.cn/ca674bfe48434e1c89d6f1e104675912.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl8zOTE5MDg5Nw==,size_16,color_FFFFFF,t_70)由此可知控制了类的 readObject 方法便可以在反序列化该类时执行任意操作。事实上大多数 Java 反序列化漏洞都可追溯到 readObject 方法,通过构造 pop 链最终改造 readObject() 方法。



[](https://gitee.com/vip204888/java-p7)源码审计分析

=========================================================================



Apache Shiro 是一个Java安全框架,执行身份验证、授权、密码和会话管理。2016年网络中曝光 Apache Shiro 1.2.4 以前的版本存在反序列化漏洞,尽管该漏洞已经曝光几年,但是在实战中仍然比较实用。



**影响版本**



Apache Shiro <= 1.2.4



**漏洞原理**



Apache Shiro 框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的Cookie。Cookie 的 key 为 RememberMe,Cookie 的值是经过对相关信息进行序列化,然后使用AES加密,最后在使用 Base64 编码处理形成的。



在服务端接收 Cookie值时,按照如下步骤来解析处理:



1.  检索 RememberMe cookie 的值;

2.  Base 64解码;

3.  使用AES解密(加密密钥硬编码);

4.  进行反序列化操作(未作过滤处理)。



在调用反序列化时未进行任何过滤,导致可以触发远程代码执行漏洞。



[](https://gitee.com/vip204888/java-p7)IDEA 部署环境

----------------------------------------------------------------------------



下面在本地 IDEA 部署 Apache Shrio 1.2.4 漏洞环境,以便于进行漏洞动态调试分析。



1、首先在 Github 下载项目源码:

https://github.com/apache/shiro




注意选择存在漏洞的 1.2.4 版本:  

![在这里插入图片描述](https://img-blog.csdnimg.cn/f552f24c972241e190ad106a30e9c184
最低0.47元/天 解锁文章
Node资料大全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java代码审计面试
悦分享
09-16 2733
Java的序列化和反序列化本身并不存在问题,但如果java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,而非预期的对象在产生过程中就有可能带来任意代码执行的后果。相比之下,更常见的是各种表达式的执行,包括但不限于 SpEL、OGNL、MVEL2、EL等,在不同的环境下程序和框架可能使用了不同的表达式解析/模板引擎,在使用和配置有误的情况下,将导致任意表达式执行。正因为此,java提供的标准库及大量第三方公共类库成为反序列化漏洞利用的关键。
java代码审计常规思路和方法
12-22
java代码审计常规思路和方法
fastjson反序列化漏洞,BAT大厂最爱问的网络安全核心面试百题详细解析
最新发布
Python毕设源码程序王哥
04-15 562
​ 具体格式不变,同样是普通的fastjson格式的payload,但是里面引用的连接需要进行修改,同时,需要在hrader头中加入cmd: ifconfig等等命令。​ 在大部分情况下,可能没有做到如上面两种试验里这么顺利,遇到最多的问题就是class文件不读取或者读取了不执行,可以直接利用工具,进行一个帮助的回显。项目,启动一个RMI服务器,监听9999端口,并使其加载编译好的类文件TouchFile.class。编译成功后会多出一个target文件夹,其中便有我们需要的jar包。
代码审计-java项目-组件漏洞审计
xiaoheizi的博客
08-16 533
2.下载悟空CRM9.0源码:https://github.com/72wukong/72crm-9.0-JAVA。配合dnslog测试是否成功执行命令——传递的json数据:{"@type":"java.net.Inet4Address","val":"dnslog地址"}4.搜索fastjson组件产生过的历史漏洞,找到对应版本的漏洞,查看漏洞利用信息。-追踪过滤或接收的数据函数,寻找触发此函数或代码的地方进行触发测试。审计项目漏洞原理->审计思路->完整源码->应用框架->验证并利用漏洞
57道一线安全大厂面试题,全答上来至少15K
m0_61568580的博客
05-19 1056
2022年,网络安全问题依然严峻,网络安全工程师也成为了职业中的新焦点。这里整理了57道网络安全一线大厂面试真题,能全部答上来,至少进大厂没问题,看看你会几道? 1、SQL注入的原理是什么? 2. SQL注入产生的原因是什么? 3. MySQL注入,写入一句话木马需要什么条件? 4. SQL注入的流程是什么? 5. 常见的web中间件有哪些? 6. MySQL注入,5.0以上和5.0以下有什么区别? 7. SQL注入的种类都有哪些? 8. 什么是宽子节注入? 9. 宽子节注入如何防御?
初识java代码审计——ofcms 1.1.4内容管理系统代码审计
Alexz__的博客
05-05 2951
目录 壹 ofcms环境搭建(避坑指南) 贰 从ofcms出发浅析javaweb项目目录结构及其功能 叁 CVE-2019-9614 SSTI模板注入漏洞 肆 任意文件上传漏洞 伍 存储型XSS漏洞 陆 后台SQL注入漏洞 壹 ofcms环境搭建(避坑指南) 四月底开始入手java代码审计,从一开始的一头雾水到现在博客总结,之间经历了许多,走过不少坑,虽然大四啥事儿都没有但是整个过程也还是压力比较大的 现在IDEA中以及没有java代码审计插件 Fi...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果...
Shiro反序列化漏洞Shiro版本升级资源
06-22
从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式: 方法一:自行实现key值 方法二:升级到1.2.5版本或以上 那么在我的项目中,选择的是升级...
Java代码审计,2024最新阿里Java高级面试题及答案
m0_60707708的博客
03-19 373
然后是idea,这里只说一下idea好用的审计插件,演示就不用它了,因为涉及到版本、破解、环境等等问题,很多新手可能用不好(包括我)(img-ZngWPRQm-1710823410420)]myeclipse就不多说了,破解教程讲的很清楚,一步一步来就好。不习惯英文的同学可以在设置中找到。码讲义、实战项目、讲解视频**这是辅助审计的插件,
php代码审计题目总结
qq_45927819的博客
12-14 1626
<?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! isset($page) || !is_string($page))//判断.
Java代码审计初探-JtopCMS文件上传漏洞(CNVD-2021-05471)
BlusKing
04-06 1987
原文发在freebuf:https://www.freebuf.com/vuls/267872.html 漏洞信息 CNVD-ID CNVD-2021-05471 公开日期 2021-02-26 危害级别 高 ([AV:N/AC:L/Au:N/C:C/I:C/A:C]) 影响产品 合肥明靖信息科技有限公司 JTopCMS 4.0.0 ..
记一道代码审计题目
0verWatch的博客
03-18 1683
前言 这个题目好像做了两遍了。。。。从这道题目里面学到的东西还是需要记录一下 正文 &lt;?php $info = ""; $req = []; $flag="xxxxxxxxxx"; ini_set("display_error", false); error_reporting(0); if(!isset($_POST['number'])){ header(...
2023网络安全岗面试题汇总(附答案)
Spontaneous_0的博客
12-29 822
公司分甲方跟乙方,同时还分大公司和小公司。做过管理的应该知道,团队管理大公司靠管理,小公司靠感情。大部分人,很多时候不是你选公司,而是公司选你,所以这里也不多bb了。现在的安全岗位,我们往往也会经历面试拧螺丝,工作造飞机的尴尬局面。所以从技术面试来说,面试的问题需要多角度,多方面来考察我们的应聘者。当然那些招驻场,随便问问的面试,当我没说。最重要的一点就是,人品,很重要。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
2021-03-10-PHP代码审计
qq_50963064的博客
11-15 847
PHP代码审计题 由于重点是代码审计,所以直接看代码了。 [HCTF 2018]WarmUp <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { //设置白名单 $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
常见的网络安全面试题目(个人总结)
weixin_53139899的博客
03-20 4143
本文总结一些常见的安全知识,供大家学习参考!
shiro反序列化漏洞工具
05-23
Shiro 反序列化漏洞指的是 Apache Shiro 框架在处理用户输入的 Session 数据时没有正确地对反序列化进行限制,导致攻击者可以构造恶意的序列化数据来执行任意代码。攻击者可以利用这个漏洞来获取系统权限、窃取敏感信息等。 针对 Shiro 反序列化漏洞,已经有一些工具可以用于检测和利用该漏洞,例如: 1. ShiroExploit:Shiro 反序列化漏洞利用工具,可用于远程执行命令、反弹 shell 等。 2. ShiroScan:Shiro 反序列化漏洞扫描工具,可以扫描目标主机是否存在 Shiro 反序列化漏洞,并输出扫描结果。 3. Shiro-550-Payloads:Shiro 反序列化漏洞 Payload,包含多种恶意代码,可供测试和漏洞利用使用。 需要注意的是,使用这些工具需要遵守法律法规,仅限于进行合法授权的安全测试和研究。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值