shiro550反序列化源代码分析

已于 2022-02-10 13:46:13 修改
阅读量868 收藏
点赞数
文章标签: intellij-idea maven java
于 2021-11-18 23:05:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45682070/article/details/121411298
版权

准备:

需要maven,jdk1.8,IDEA,[shiro-1.2.4](https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4)

进入samples\web目录,拖到idea里,加载pom文件的依赖

踩坑:

问题1:
代码运行起来之后,一直包没有commons-collections4-4.0.jar这个依赖,导致不能反序列化
刚开始配置的是公司的maven地址,后来换成阿里的解决了
pom.xml依赖如下
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-collections4</artifactId>
            <version>4.0</version>
        </dependency>
问题2:
下载之后还是不行执行不了反序列化
把刚才的依赖拉到项目下lib目录下即可,使项目去lib下找相关的依赖包

配置tomcat

在代码中配置tomcat,如果没配置访问目录,点击fix去配置

在这里插入图片描述点击tomcat的启动三角即可运行
在这里插入图片描述

我们分析的代码在扩展库中的shiro-web-1.2.4.jar下的org.apache.shiro.web/mgt/CookieRememberMemanager.class中

在这里插入图片描述在刚才说的.class文件中的84行下断点就可以开启调试模式,调试代码了
在这里插入图片描述shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。
下面的payload,cookie中设置可弹出计算机

rememberMe=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
最低0.47元/天 解锁文章
XiaoLeiZhaoO
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro550 反序列化漏洞分析
Vicl1fe的博客
03-20 905
环境搭建 我的环境 1、Maven 3.5.2 2、jdk 1.6和jdk1.8(默认java环境是1.8,1.6是用于配置下面的toolchains) 3、IDEA 配置shiro 首先下载shiro-1.2.4:shiro-1.2.4下载。 文件目录如下, 进入samples\web目录下。这就算是漏洞复现的web目录了。 配置Maven 配置一下maven,在maven/conf/toolchains.xml中的toolchains 中添加以下代码。至于为什么要添加,可以看看toolchains的
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
Shiro反序列化漏洞原理&代码分析(3)
qq_63217130的博客
02-27 411
创建PriorityQueue对象 并add TemplatesImpl_instance(RCE类) 以便compare的时候传入RCE类对象然后transform(TemplatesImpl_instance) 去实例化RCE类的对象。相比调用ChainedTransformer的更加transform的POC要简单一些因为不用去链式调用了嘛,我们只用最后调用一下InvokerTransformer的transform方法实例化一个对象就好了。由于我们要调用的链条如下。那么最终poc就是这样的。
shiro反序列化漏洞学习(工具+原理+复现)
最新发布
heike_Ch的博客
06-15 766
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
ATT&CK实战系列——红队实战(一)
Vicl1fe的博客
03-23 5486
一、环境搭建 1.1环境搭建测试 最近想要开始学习内网渗透,搜集了一些教程,准备先实验一个vulnstack靶机,熟悉一下内网渗透操作再学习基础知识。 靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 压缩包中的win7为VM1,win2003为VM2,win2008为VM3,拓扑图如下所示: kali设置成NAT模式,w...
Java 反序列化(一)必备基础知识
Vicl1fe的博客
12-08 537
Shiro key的另类检测方式
Vicl1fe的博客
11-04 1236
前言 很久以前对于Shiro这个洞,都是基于URLDNS来爆破key的,但实际利用场景中,大部分是不出网的,后来出了一个新的检测key的方式,但一直只知道是通过SimplePrincipalCollection这个类来判断的 正确的key就不会回显rememberMe=deleteMe, 错误的key就会回显rememberMe=deleteMe, 但原理未知,今天就来分析一下。 返回rememberMe=deleteMe的几种情况 key不正确 跟踪一下Shiro解密的逻辑,在AbstractReme
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
然而,在Apache Shiro 1.2.4及其更早的版本中,存在一个严重的反序列化漏洞。这个漏洞主要与RememberMe服务的实现有关。在处理RememberMe的Cookie时,Shiro的`CookieRememberMeManager`类会执行一系列操作:首先,它...
Shiro反序列化漏洞,Shiro版本升级资源
06-22
但在这个过程中,其AES的Key硬编码,导致反序列化漏洞的产生。(参考http://www.secwk.com/2019/09/18/2818/) 反序列化漏洞解决思路 从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,...
Shiro反序列化漏洞详细分析 .pdf
09-05
本文主要探讨了Shiro中的一个严重安全漏洞,即shiro-550反序列化漏洞,以及与其相关的shiro-721 Padding Oracle Attack。这个漏洞可能导致攻击者执行任意代码,对企业的业务风控和信息安全构成威胁。 **shiro-550...
一道shiro反序列化转型引发的思考 .pdf
09-05
本篇文章聚焦于一起由Shiro反序列化转型引发的安全事件,通过对该事件的深入分析,我们可以从中了解到Web应用安全防护的重要性以及业务风控的必要性。 Apache Shiro是一个轻量级的Java安全框架,用于身份验证、授权...
commons-collections4-4.0.rar
05-14
commons-collections4-4.0.rar
commons-collections4-4.1-API文档-中文版.zip
07-03
赠送jar包:commons-collections4-4.1.jar; 赠送原API文档:commons-collections4-4.1-javadoc.jar; 赠送源代码:commons-collections4-4.1-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.1.pom; 包含翻译后的API文档:commons-collections4-4.1-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.apache.commons:commons-collections4:4.1; 标签:apache、commons、collections4、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
JAVA代码审计之Shiro反序列化漏洞分析
m0_61331407的博客
03-14 263
在清楚了各个大厂的面试重点之后,就能很好的提高你刷题以及面试准备的效率,接下来小编也为大家准备了最新的互联网大厂资料。在清楚了各个大厂的面试重点之后,就能很好的提高你刷题以及面试准备的效率,接下来小编也为大家准备了最新的互联网大厂资料。[外链图片转存中…(img-qcXastRl-1710353228358)][外链图片转存中…(img-FUzW0wiI-1710353228358)][外链图片转存中…(img-Kv5k7smt-1710353228359)]
SHIRO-550 反序列化漏洞分析
热门推荐
three_feng的博客
08-12 2万+
所需环境:   1、maven 2、jdk1.6 jdk1.8(默认java环境是1.8,1.6是用于配置下面的toolchains) 3、eclipse   一、搭建漏洞环境   下载漏洞示例代码 https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4   解压并使用e
shrio反序列化分析
hongduilanjun的博客
03-18 1204
shiro550 环境搭建 https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4 配置pom.xml <dependencies> <dependency> <groupId>javax.servlet</groupId> <artifactId>jstl</artifactId> <scope>ru
Java面试超详细知识点!JAVA代码审计之Shiro反序列化漏洞分析
m0_58269520的博客
08-04 664
// 2. 调用ObjectInputStream对象的readObject()得到序列化的对象 ObjectInputStream ois = new ObjectInputStream(new FileInputStream(new File("d:/People.txt"))); People people1 = (People) ois.readObject(); System.out.println("people对象反序列化成功!"); Syste...
Apache Shiro Java反序列化漏洞分析
2301_77512689的博客
04-25 424
最终利用ysoserial的CommonsBeanutils1命令执行。虽然在ysoserial里CommonsBeanutils1类的版本为1.9.2,不过上面环境测试确实可以命令执行。这里当时有一个问题是:如何获取Java里引用组件的版本?大多数的时候,我们只要解析pom.xml就能解析出相应组件的版本。但有的情况下,并不能获取组件的版本。比如有的pom.xml并没有设置组件的version版本,没有设置version的情况,是由依赖决定。项目中依赖了A,A依赖了B,B的版本由A决定;
shiro550反序列化漏洞学习(没怎么学过java的人简单尝试)
m0_73998094的博客
03-11 1300
shiro550反序列化漏洞学习(没怎么学过java的人简单尝试)
shiro-550反序列化漏洞与shiro-721反序列化漏洞的区别
04-13
这是一个技术问题,Shiro-550漏洞与Shiro-721漏洞都是Apache Shiro框架中的反序列化漏洞,但Shiro-550漏洞主要是由于使用了不安全的Java反序列化进行身份验证,而Shiro-721漏洞主要是由于Shiro的rememberMe功能中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值