Shiro反序列化漏洞原理&代码分析(1)

已于 2024-02-27 10:40:21 修改
阅读量224 收藏 5
点赞数 6
分类专栏: shiro&cc链 文章标签: java 服务器 开发语言 代码复审 web安全 网络安全 安全
于 2024-02-21 15:08:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63217130/article/details/136212310
版权

调用readobject的链

我们知道shiro反序列化是他加密cookie的AES密钥硬编码,造成我们可以任意伪造cookie,注入恶意的类反序列化造成的RCE,那么我们就看看如何处理cookie的

首先调用getRememberedSerializedIdentity函数 跟进去看看

先是获取请求体中的cookie也就是rememberMe的值

Cookie: rememberMe=UAnfoqJJIzCdHIlB8SdeZV0O9FqdDGGjz+ic7wOJ1HA1rxHiSNF9xo8YcAEGbdhOc0lW2HbY10H53tVwGq1TGFyabd7eIt6Aa2xmALgl0iZ7Vmsuern7cQMVUpvXfCiXTZx69i29+NCbvzaqUuWD4cTMPY6rnWpI4t9mJZVuKLxoQ7qVOuT6d5dpWxpl5tZ537WW7txMS24NsSFqxpXrFqqA81U6ANlYeK+jQ1Ajy68s+IGzNVOUk6pY3N+ZCl4v3+A9EQOKHprxmqrSFBZOd8Q9RznoXhYM4AuARRDdLs8yjkaawJ5SoGkby26JjPcmvr5L0jr8C+c5bNkM4ezYEFP0eXJ2zLsiXBzUBaY/PZLKL3NSgPoO9ayfe2UH6cr+qecjlJA6ilW1Gfh+Eed/fcWu5c1jTX33Xx+heex+N56f7qqBPjxBSg1LqpjvfubNvaJ4UwBxXhP7TF8R245+odzhLjESlNdqOdmILNEG2AyDswN1gwDL51y52ajA1ijb

然后将cookie解码 成字节码 再return decoded

在调用convertBytesToPrincipals函数 跟进去看看

调用deserialize方法 翻译过来就是反序列化 所以继续跟进

再跟进 就调用了object方法了

可以看到cookie是可控的然后cookie经过了以下转换

cookie--base64--decoded--bytes--serializedIdentity--serialized--bais--bis--ois
最终 -- ois.readObject()

所以整个输入是我们可控的接下来就要寻找一个可以反序列化的对象,该对象readobject方法可以造成RCE也就是cc链2的利用了

Ting丶丶
关注
专栏目录
shiro反序列化漏洞
2403_82795493的博客
02-19 1030
Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532),当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。会存在一段base64加密的字段,解码后就是攻击者的回显内容。shiro721的加密key基本猜不到,系统随机生成,可以使用登陆后的rememberMe去爆破正确的key值,即利用有效的RememberMe Cookie作为。
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Shiro反序列化漏洞原理&代码分析(3)
qq_63217130的博客
02-27 430
创建PriorityQueue对象 并add TemplatesImpl_instance(RCE类) 以便compare的时候传入RCE类对象然后transform(TemplatesImpl_instance) 去实例化RCE类的对象。相比调用ChainedTransformer的更加transform的POC要简单一些因为不用去链式调用了嘛,我们只用最后调用一下InvokerTransformer的transform方法实例化一个对象就好了。由于我们要调用的链条如下。那么最终poc就是这样的。
shiro反序列化漏洞原理分析
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
10-12 589
原理 AES加密的密钥Key被硬编码在代码里,每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终就会造成反序列化漏洞
Java代码审计-shiro反序列化漏洞分析
qq_44780157的博客
08-08 1069
Shiro550反序列化漏洞原理分析
Shiro反序列化漏洞原理&代码分析(2)
qq_63217130的博客
02-21 392
如果前面comparator.compare的comparator是个TransformingComparator类那么就会进入这里调用this.transformer.transform(obj1),而在之前分析的cc1链中我们知道这个transform是可以调用任意类的任意方法导致RCE的,所以我们就需要构造一个合适的PriorityQueue类然后触发这个transform方法配合cc1链的链式调用进行RCE。造成RCE的原因是他的heapify方法 跟进看看。首先我们将一个对象转为字节码。
shiro反序列化漏洞原理
m0_73649671的博客
05-22 369
shiro反序列化漏洞原理
Shiro 反序列化漏洞原理
weixin_62688091的博客
04-13 308
反序列化,如果成功,则执行恶意代码,构成攻击。攻击者可以构造恶意码,将其序列化。,可以直接反序列化执行恶意代码。在识别身份的时候,需要对。秘钥就不为默认了,需要获取到。在代码中,可以从源码中找到。反序列化的特征:在返回包的。
Shiro反序列化漏洞原理详解及复现,2024年最新0基础Golang开发
2401_84254196的博客
04-18 650
不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!生成CC链,再次按照上述方式发送,执行命令为反弹shell(CC6可打通),注意vulhub靶机本身没有nc,如果使用nc需要先上传。删除JSESSIONID(当该字段存在时,不检测rememberMe),修改rememberMe为加密后的值发送。AES解密,shiro默认加密方式,存在padding oracle攻击及密钥泄露,是可以利用的核心。
Shiro反序列化漏洞检测工具
01-05
Apache Shiro是一款强大的Java安全框架,它为...通过了解Shiro反序列化漏洞原理和防范措施,我们可以更好地保护我们的系统免受此类攻击。同时,使用提供的检测工具进行定期扫描,也能及时发现并修复潜在的安全隐患。
shiro反序列化漏洞检测工具,含链接教程
08-17
使用方法如描述所示,通过命令行输入`java -jar shiro_tool.jar`后跟目标服务器的URL,工具会尝试识别并测试该服务器是否存在Shiro反序列化漏洞。`readme.txt`可能是提供关于如何使用该工具以及漏洞原理的详细说明。...
第03篇:Shiro 反序列化漏洞利用汇总1
08-03
1. Shiro RememberMe反序列化漏洞Shiro-550) 这个漏洞源于Shiro框架在处理RememberMe功能时的安全缺陷。RememberMe允许用户在退出系统后仍能保持登录状态。当用户选择RememberMe时,Shiro会生成一个加密且编码的...
基于Hive和Hadoop的哔哩哔哩网站分析系统
图南的博客
09-27 594
本项目是一个基于大数据技术的哔哩哔哩平台分析系统,旨在为用户提供全面的哔哩哔哩视频数据和深入的用户行为分析。系统采用 Hadoop 平台进行大规模数据存储和处理,利用 MapReduce 进行数据分析和处理,通过 Sqoop 实现数据的导入导出,以 Spark 为核心进行高效的数据处理。整个系统结合了大数据处理技术,为用户提供精准的内容推荐和深入的用户兴趣分析,帮助平台更好地了解视频趋势和用户需求。
JavaScript ArrayBuffer的读写与类型转换
最新发布
白瑕 的博客
10-01 240
所有视图的基本单位是ArrayBuffer, ArrayBuffer中只存储二进制格式的数据.ArrayBuffer不可直接读写, 必须通过视图(比如DataView)暴露的API.
Spring Cloud全解析:服务调用之OpenFeign集成OkHttp
Lxn2zh的博客
09-30 461
HTTP连接需要进行TCP三次握手,是一个比较耗时的操作,一般我们不直接使用HttpURLConnection,而是使用HttpClient/okHttp等支持连接池的客户端工具,以Feign集成OkHttp为例。OpenFeign本质是HTTP来进行服务调用的,也就是需要集成一个Http客户端。默认是HttpURLConnection方式,也就是jdk中提供的最原始的那个。要开启OkHttp ,还需要在YML 中添加开启配置项,默认是关闭的。使用的是Client接口来进行请求的。
Java内存布局
阿呆的专栏
10-01 566
64位 JVM 不启用指针压缩时:Object Header 大小是16字节。64位 JVM 启用指针压缩时(默认):Object Header 大小是12字节。32位 JVM:Object Header 大小是8字节。JVM在默认情况下启用指针压缩,但如果堆内存超过32GB,就会禁用指针压缩。32GB是压缩指针的最大寻址范围。超过32GB的堆内存中,压缩指针带来的性能提升并不显著,而且需要解压指针反而可能增加开销。
C#基础:掌握控制流语句,构建灵活的程序逻辑
学习和分享
09-28 296
在C#中,控制流语句是用来控制程序执行流程的重要部分。它们允许你根据条件执行不同的代码块,或者重复执行某些代码块直到满足特定条件。
进程管理工具:非daemon进程管理工具supervisor
happy_king_zi的博客
09-29 1090
supervisor是一个 Client/Server模式的系统,允许用户在类unix操作系统上监视和控制多个进程,或者可以说是多个程序。supervisor与launchd,daemontools,runit等程序有着相同的功能,与其中某些程序不同的是,它并不作为“id 为 1的进程”而替代init。相反,它用于控制应用程序,像启动其它程序一样,通俗理解就是,把Supervisor服务管理的进程程序,它们作为supervisor的子进程来运行,而supervisor是父进程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值