第17篇:Shiro反序列化在Weblogic下无利用链的拿权限方法

已于 2022-09-23 08:04:21 修改
阅读量2.3k 收藏 7
点赞数 1
分类专栏: 红队攻防 文章标签: 中间件 java 安全 编程语言 区块链
于 2022-07-02 14:59:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71692682/article/details/125580309
版权

e4e08aafcaf48d54eb39c5906da5e241.png

 Part1 前言 

Shiro反序列化漏洞虽然出现很多年了,但是在平时的攻防比赛与红队评估项目中还是能遇到。主站也许遇不到Shiro漏洞,但是主站边缘域名、全资子公司的子域名、边缘资产、微信公众号、微信小程序啥的,总能找到。现在遇到的shiro反序列化漏洞也是越来越难了,好多都是别人搞不定的。搞不定的原因要么是key比较偏门,要么是过不了waf防护,要么就是找不到可用的利用链,导致没办法拿权限。

我记得最早在前年测试weblogic反序列化漏洞的时候,突然想到了,如果使用了shiro组件的网站是部署在weblogic中间件下,完全可以利用weblogic中间件的coherence组件的利用链来打。Weblogic反序列化漏洞大致是通过T3、IIOP协议发送一个序列化数据包,相关类只要不在weblogic黑名单中,服务器就反序列化恶意代码执行攻击语句。同样,这个序列化数据包用shiro组件来处理,只要中间件是weblogic,也应该能反序列化成功。而且通过构造的反序列化数据包不通过T3、IIOP流程,也许还不受Weblogic黑名单的限制。于是在本机搭建的一堆weblogic各种版本的虚拟机环境中,测试发现是可行的,但是中间也是踩了一大堆坑,实属不易。

 Part2 技术研究过程 

  • 环境搭建

首先需要搭建一个在weblogic下的shiro网站应用,于是从github上搜索了一个samples-web-1.2.42.war包,上传到weblogic中间件中进行部署。

f536465f0c3949050241de364b6651cd.png

接下来一路点击下一步,点击“激活更改”,有的新手到这一步就停了,导致环境搭建不成功。记得在“控制”选项卡下边,点击“为所有请求提供服务”,至此环境就搭建成功了。

838f5b021d7d667e9ed91ec2ea0e7fee.png

如下图所示,搭建成功了。

294f7a4e2afe4c90b36348bfdb80c209.png

  • 反序列化利用链的选择

Weblogic的Coherence组件反序列化漏洞的POC有好几个,主要包括CVE-2020-2555、CVE-2020-2883、CVE-2020-14756、CVE-2021-2135等等,每个反序列化exp其实就对应着Weblogic中间件下的一条反序列化利用链,选择也是很有技巧的,因为每个EXP都各有优缺点。比如说,CVE-2020-2555的exp用到了BadAttributeValueExpException这个类,这个类只在JDK1.8下才能用,适用范围就窄了;CVE-2021-2394与CVE-2022-21350只能发起jndi请求,因此只有在出网的情况下才能利用。后续有人把CVE-2020-2883的POC中的BadAttributeValueExpException这个类换掉,使POC更加通用。最终经过一系列对比筛选,CVE-2020-2883、CVE-2020-14756、CVE-2021-2135这三个POC看起来比较通用,而且这三个POC可以接Javascript引擎,执行任意Java代码,为后续通过shiro打weblogic内存马打下基础。于是就拿来测试了一下。

POC大致如下格式:

171e8eebef9d4856d7124768056f911a.png

  • Coherence组件的SUID不同问题

接下来需要做的事情是将不同Weblogic版本的Coherence利用链整合进ysoserial工具包中,这样可以直接调用ysoserial工具来生成shiro反序列化的poc。这里就遇到了一个非常大的麻烦,Weblogic有不同版本如12.2.130、12.2.140、14.1.100等等,每个细微版本的Coherence库的SUID都不一样,在反序列化漏洞利用过程中,SUID对不上,是没法反序列化成功的。网上有文章对Weblogic下的Coherence组件的不同SUID做了总结,但是我本地反复测试的结果,好像与网上的文章给的结果不太一样。为了解决这一问题,我也不纠结了,综合考虑时间与成本,选用了最简单的URLClassLoader类加载不同版本的Coherence的jar包的方法,将不同weblogic版本的coherence POC融合进ysoserial工具包中。

7e803348a56802ffd339a44c064f4a3d.png

接下来按照shiro组件的加密方式,生成反序列化数据包

b90f6a6f0ace95b4d91216f43f5a5f7a.png

使用burpsuite发包之后,Weblogic服务器成功弹出计算器,证明这种思路是可行的。

ac0ba4919d06eee295b1987f63d3c082.png

  • 内存马问题

这里我就不过多叙述了,可以选用网上靠谱的代码拿来直接用。建议大家看看先知社区feihong的文章https://xz.aliyun.com/t/9343,讲的非常详细。最终把feihong的代码进行整合,最终发现打内存马是成功的。

412218307f35753a8e2d4be4f709be19.png

如下图所示,内存马是成功的。

5bf959fb05bba2b4ceb563ec3b0004c6.png

 Part3 总结 

1.  实现weblogic回显的反序列化代码会非常大,导致生成的rememberMe的cookie值很长,记得把内存马的代码放在post body中,减少cookie的大小。

2.  如果使用weblogic利用链打不成功,那可能是目标weblogic更新了补丁,需要换一个较新的POC,实在不行,如果服务器的JDK版本低于1.8.191,可以用jndi出网的方法反弹shell。

3.  上述回显方法引用了Templates模板类,这个类用来打shiro反序列化没问题,但是用来打T3、IIOP应该是不能成功的,因为这个类被加入了weblogic的黑名单中

4.  10.3.6.0版本的weblogic用coherence打不成功,因为默认没开启。这种情况下最好用JDK-7u21、jre-8u20、CCK1、CCK3的利用链来打,其实也就与weblogic无关了。

5.  近期ABC_123写的几款工具被公布到网上了,有很多网友后台回复我,希望提供工具的官方哈希值。由于微信公众号文章发布之后,仅能修改20个字,所以为了防止工具被人恶意加入后门,ABC_123借此文章发布工具的md5哈希值如下:

(声明:ABC_123研发的工具都是内部使用的,用来打攻防比赛或者做日常渗透测试,禁止非法使用,从来不对外公开下载。工具泄露非本人自愿,本人无意愿让工具传播。也请大家不要再跟我要工具了,谢谢了。)

74f07a54cc7b15990b04c80cc6fa424c.png

专注于网络安全技术分享,包括红队、蓝队、日常渗透测试、安全体系建设等

每周一篇,99%原创,敬请关注

希潭实验室
关注
专栏目录
weblogic之T3反序列化
weixin_45682070的博客
03-02 2044
T3协议 什么是T3协议? 解释摘抄自此文 Weblogic的RMI规范的实现使用一个专有协议T3。 您可以将T3(和安全T3S)视为坐在http之上的一个图层,以公开/允许客户端的JNDI调用。 通常,T3协议用于与WebLogic控制台进行交互。 T3是用于在WebLogic服务器和其他types的Java程序之间传输信息的协议。 WebLogic会跟踪连接到应用程序的每个Java虚拟机。 为了将stream量传送到Java虚拟机,WebLogic创build一个T3连接。 这种types的连接通过消除
hw蓝队初级面试总结_weblogic反序列化流量特征
2401_84253089的博客
04-28 722
使用@type的value字段执行反序列化的类,例如JdbcRowSetImpl这个类,接着将这个类中的成员变量datasourcename的value值设为rmi远程加载类,这样fastjson在将传入的类反序列化、实例对象后,会通过成员变量传入的value值,请求rmi服务器,最后rmi返回远程类,fastjson执行这个远程恶意类。3、修改/etc/profile的文件,在尾部添加相应显示间、日期、ip、命令脚本代码,这样输入history命令就会详细显示攻击者 ip、时间历史命令等;
Shirokey但无回显利用子-JRMP大法
最新发布
希望我的博客,能帮上你解决学习中工作中所遇到的问题
06-12 1691
shiro在手天下我有,扫出key直接梭哈getshell,横扫内网。但要是像这种情况,直接下班拜拜跑路,没有子玩毛线…直到出现了这么一个工具可以通过JRMP协议探测是否存在漏洞,很显然上面工具是做不到的,实战中很可能因此丢掉一个shell。
shiro-check:Shiro反序列化回显利用,内存外壳,检查Burp插件
03-21
四郎检查 3.0增加了一些回显有效载荷,增加了基于过滤器(需要对冰蝎客户端pageContext进行改造)和servlet(部分环境需要把参数据进行URL转码)内存冰蝎的支持。 2.0增加了回显,及100个键,20个键的扫描选项,利用了burp内置的dnslog api(协作者)基于ysoserial的小工具URLDNS进行DNS查询验证此漏洞! #release中提供下载
shiro泄露key无依赖利用技巧
渗透测试研究中心
12-26 1684
获取环境:拉取镜像到本地$ docker pull medicean/vulapps:s_shiro_1 启动环境$ docker run -d -p 80:8080 medicean/vulapps:s_shiro_11.使用shiro_attack_2.2工具对目标系统进行检查,发现有默认key但是无利用2.使用shior_tools.jar 直接对目标系统进行检测,检测完毕后会返回可执行...
shiro无依赖利用
jy13172的博客
07-23 798
我们只要调用它的另一个构造函数,然后调用JDK或者CB自带的类就行了,同时还要满足两个条件,一方面就是继承。我们上次用的CC3的依赖,这次把这个依赖删了,使用shiro自带的依赖打。是嵌套的意思 跟进去发现,readMethod是我们传进去的参数。CC是对java集合类的增强,CB是对JavaBean的增强。虽然是CC4中的类,但是我们在传入系统的时候就把他修改成。是可以动态加载类的,也就是可以代码执行,所以。是我们传的参数,这里很可能是一个可以利用的点。,而且优先队列的参数也是可以控制的。
Shiro无依赖—Commons Beanutils
Le1a's Blog
03-23 7348
Shiro无依赖—Commons Beanutils 文章首发自: https://www.le1a.com/posts/a5f4a9e3/ 前言 前面学习了CC6在Shiro当中的应用,但是很多场景没有使用CC依赖,那么还有其他利用方式吗?那就是Commons Beanutils! Commons Beanutils是什么? Commons-Beanutils是Apache提供的一个用于操作JAVA bean的工具包。里面提供了各种各样的工具类,让我们可以很方便的对bean对象的属性进行各种操作。 Ja
shiro反序列化攻击溯源
07-29
- *1* *2* *3* [第17Shiro反序列化Weblogic下无利用的拿权限方法](https://blog.csdn.net/m0_71692682/article/details/125580309)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra...
java反序列化
weixin_52221158的博客
08-17 825
JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI 服务供应接口(SPI)的实现,由管理者将JNDI API 映射为特定的命名服务和目录系统,使得 Java 应用程序可以和这些命名服务和目录服务直接进行交互。漏洞经常存在于一些 web组件中。例如 weblogic,Fastjson,JBoss,WebSphere,Jenkins,OpenNMS,Shiro。打开idea,看一下源码(在windows系统解压jar包,在idea创建项目查看,找到对应的jar文件,右键选择添加为库即可查看)...
shiro反序列化复现.zip
08-03
shiro反序列化复现工具包;shiro反序列化复现工具包;
shiro_rce_tool:shiro rce tool 反序列 命令执行 一键工具 回显
04-29
shiro_rce 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 2021-03-31: 新增自定义或随机useragent randomagent --> random useragent useragent= --> set useragent cookiename= --> default: rememberMe 2020-10-16: 放出来一些功能: 1、spring/tomcat回显,执行命令的时候,x=whoami 就行 2、批量检测是否shiro 3、目标服务器不出网的情况下探测 2020-08-21: 新增了cc8 cc9 cc10利用 新增了输出payload模式,在执行命令的时候输入output=on即可。 参考下面的示例 2020-05-26: 原来的停止服务了,请下载最新版本。
经典的Shiro反序列化漏洞分析
hackzkaq的博客
03-02 4716
更多黑客技能 公众号:小道黑客 作者:掌控安全-holic 0x01、前言 相信大家总是面试会问到java反序列化,或者会问到标志性的漏洞,比如shiro反序列化,或者weblogic反序列化漏洞。 那我就这文章为大家讲解一下,不懂的哥哥直接背一下,理解一下就好了。 至于为什么要选择shiro反序列化呢,不讲weblogic呢? 因为我上次有幸参与金鸡电影节的临时安全负责人,具体我就不细说了。当时是内部涉及到shiro反序列化漏洞。 准确的来说是Shiro<1.2.4-RememberMe反序
Shiro-550反序列化漏洞复现
LuckySec
08-23 4506
PS:欢迎访问我的个人博客 http://luckyzmj.cn 0x01 漏洞简介 Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 影响版本 Shiro <= 1.2.4 0
shiro defaultkey利用_深入利用Shiro反序列化漏洞
weixin_35734296的博客
01-06 3022
0x00:背景shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload本身就是加密的,无攻击特征,所以几乎不会被waf检测和拦截。0x01:shiro反序列化的原理先来看看shiro在1.2.4版本反序列化的原理这里是shiro拿到cookie后的关键代码,先dec...
weblogic XML反序列化
weixin_48776804的博客
05-10 413
weblogic XML反序列化
Apache shiro 反序列化利用
qq_37561898的博客
04-27 3156
convertBytestoPrincipals 解密 --> 反序列化 decrypt 解密 函数需要通过key 解密 密钥值是固定的 触发反序列化流程:读取cookie -> base64解码 -> AES解密 -> 反序列化 DNS可以出网,使用dnslog进行攻击 结合Dnslog与URLDNS方法有一个前提是DNS能出网。那么在不出网的情况下就需要找一个替代的方案了。结合SQL盲注的思路,可以考虑执行如下代码结合时间延迟进行判断,若系统是lin..
[ 攻防演练演示 ] 利用 shiro 反序列化漏洞获取主机权限
qq_51577576的博客
03-07 1364
[ 攻防演练演示 ] 利用 shiro 反序列化漏洞获取主机权限
从commons-beanutils反序列化shiro无依赖的漏洞利用
weixin_43695820的博客
03-29 1268
1 环境 jdk 1.8u40 commons-beanutils <dependency> <groupId>commons-beanutils</groupId> <artifactId>commons-beanutils</artifactId> <version>1.8.3</version> </dependency> javassist <dependen
shiro反序列化利用
07-29
Shiro 反序列化利用是一种攻击技术,利用 Apache Shiro 框架中的漏洞,通过序列化和反序列化的过程来执行恶意代码。这种攻击方式通常被用来绕过身份验证和授权机制,获取未经授权的访问权限。 具体来说,攻击者可以构造一个恶意的序列化对象,然后将其发送给目标应用程序。当应用程序尝试反序列化这个对象时,恶意代码就会被执行,从而导致安全漏洞。 为了防止 Shiro 反序列化攻击,可以采取以下措施: 1. 更新 Shiro 框架:确保使用最新版本的 Shiro 框架,因为开发者通常会修复已知的漏洞。 2. 序列化过滤:限制应用程序接受的序列化对象的类型和来源。 3. 输入验证:对用户输入进行严格的验证和过滤,防止恶意数据进入应用程序。 4. 安全配置:配置 Shiro安全策略和权限控制,确保只有授权的用户能够访问敏感资源。 5. 日志监控:监控应用程序的日志,检测异常行为和潜在的攻击。 请注意,这只是一些基本的防御措施,具体的应对策略还需要根据具体的应用程序和环境来确定。建议在部署和使用 Shiro 框架时,与安全专家合作,并进行全面的安全评估和测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

希潭实验室

您的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值