本文中xray高级版shiro payload来源于雷石安全实验室公众号发布的shiroExploit.jar

感谢雷石安全实验室,雷石安全实验室牛逼

本文主要描述如何从shiro的payload中提取有效payload。该方法适合从各种java反序列化漏洞中提取payload

0x01 前言

某日小伙伴发来雷石安全实验室的shiro利用工具,据称payload提取自xray。利用如下

0x02 反编译雷石利用工具

首先拖入idea中反编译,查看如何利用payload。代码如下

t是遍历数组的下标变量

不得不说,当我看到这人写的代码时,心中一万个草泥马飘过。第一次看到这样遍历数组的方式!!!!再看一下变量命名,浓郁地乡村非主流风格。雷石安全实验室写的代码,自带混淆,牛皮。

payload呢,原来是xray已经生成并加密的,一共430个。所以我们的问题变为如何从这430个已加密的payload中提取未加密的内容

0x03 shiro payload解密

根据shiro漏洞的原理,shiro的cookie通过如下方式加密, key为kPH+bIxk5D2deZiIxcaaaA==解码后的内容

base64Encode(iv+aes(java serialize object))

而java反序列化后的数据,以aced开头。于是我们可以使用shiro默认密钥,批量解密上面的430个key。如果正常解密,且解密后的数据以正确的magic number开头。则保存文件。代码如下

    public static String bytesToHex(byte[] bytes) {

        StringBuffer sb = new StringBuffer();

        for(int i = 0; i < bytes.length; i++) {

            String hex = Integer.toHexString(bytes[i] & 0xFF);

            if(hex.length() < 2){

                sb.append(0);

            }

            sb.append(hex);

        }

        return sb.toString();

    }

    public static byte[] decrypt(byte[] cipherTextBytes, byte[] pwdBytes, byte[] iv) {

        try {

// 1 获取解密密钥

            SecretKeySpec keySpec = new SecretKeySpec(pwdBytes, ENCRY_ALGORITHM);

// 2 获取Cipher实例

            Cipher cipher = Cipher.getInstance(CIPHER_MODE);

// 查看数据块位数 默认为16(byte) * 8 =128 bit

// System.out.println("数据块位数(byte):" + cipher.getBlockSize());

// 3 初始化Cipher实例。设置执行模式以及加密密钥

            IvParameterSpec iv1 = new IvParameterSpec(iv);//使用CBC模式,需要一个向量iv,可增加加密算法的强度

            cipher.init(Cipher.DECRYPT_MODE, keySpec, iv1);

// 4 执行

            byte[] clearTextBytes = cipher.doFinal(cipherTextBytes);

// 5 返回明文字符集

            return clearTextBytes;

        } catch (NoSuchAlgorithmException e) {

            e.printStackTrace();

        } catch (InvalidKeyException e) {

            e.printStackTrace();

        } catch (NoSuchPaddingException e) {

            e.printStackTrace();

        } catch (BadPaddingException e) {

            e.printStackTrace();

        } catch (IllegalBlockSizeException e) {

            e.printStackTrace();

        } catch (Exception e) {

            e.printStackTrace();

        }

// 解密错误 返回null

        return null;

    }

    public static void main(String... args) throws IOException {

        for(int i = 0; i< xray.cookie.length; i++){

            String payload = xray.payloads(i);

            System.out.println(payload);

            byte[] rawpayloadBytes = Base64.decode(payload);

            byte[] key = Base64.decode("kPH+bIxk5D2deZiIxcaaaA==");

            int ivSize = key.length;

            byte[] iv = new byte[ivSize];

            System.arraycopy(rawpayloadBytes, 0, iv, 0, ivSize);

            byte[] payloadBytes = new byte[rawpayloadBytes.length - ivSize];

            System.arraycopy(rawpayloadBytes, ivSize, payloadBytes, 0, payloadBytes.length);

                byte[] result = EncryptUtil.decrypt(payloadBytes, key, iv);

                if (result != null){

                    String hexResult = bytesToHex(result);

                    if (hexResult.startsWith("aced")) {

                        System.out.println(payload);

                        new FileOutputStream(new File("res.ser")).write(result);

                    }

                }

        }

    }

结果通过010editor查看如下

0x04 查看java反序列化数据

通过SerializationDumper工具即可查看

shiro中通过反序列化漏洞回显,需要执行自定义的java代码。查看ysoserial代码,执行自定义代码,需要通过com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet的方式,编写一个继承自该类的class,读取字节码并设置_bytecodes,代码如下

所以我们的重点在于如何提取bytecode数组中的内容。而serializationDumper默认只打印数组中的值。

查看一下serializationDumper工具是如何读取array数组的,代码如下

首先读取array的size,然后调(byte)cd.getClassName().charAt(1)去读取array的类型,再调用readBytesField方法读取每一项具体的值,代码如下

	/*******************

	 * Read a byte field.

	 ******************/

	private void readByteField() {

		byte b1 = this._data.pop();

		if(((int)b1) >= 0x20 && ((int)b1) <= 0x7e) {

			//Print with ASCII

			this.print("(byte)" + b1 + " (ASCII: " + ((char)b1) + ") - 0x" + this.byteToHex(b1));

		} else {

			//Just print byte value

			this.print("(byte)" + b1 + " - 0x" + this.byteToHex(b1));

		}

	}

所以只需要魔改一下读取数组的地方即可,并写入文件。

0x05 利用

已经集成到shiro综合利用工具中,可以选择gadget以及生成方式,不过目前只集成16个key。



参考

  1. https://mp.weixin.qq.com/s/fZhL-GjoXLPqAIKBKCC_fg

java反序列化提取payload之xray 高级版的shiro回显poc的提取过程的更多相关文章

  1. Xray高级版白嫖破解指南

    啊,阿Sir,免费的还想白嫖?? 好啦好啦不开玩笑 Xray是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动.被动多种扫描方式,自备盲打平台.可以灵活定义 POC,功能丰富,调用简单,支持 ...

  2. Java反序列化漏洞整理

    Fastjson 反序列化 CVE-- Fastjson 利用版本范围为 Fastjson 及之前的版本 Struts2 S2-, S2-, S2-, S2-, S2-, S2-, S2-, S2-, ...

  3. 通过WebGoat学习java反序列化漏洞

    首发于freebuff. WebGoat-Insecure Deserialization Insecure Deserialization 01 概念 本课程描述了什么是序列化,以及如何操纵它来执行 ...

  4. Java反序列化漏洞分析

    相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 htt ...

  5. 对ysoserial工具及java反序列化的一个阶段性理解【未完成】

    经过一段时间的琢磨与反思,以及重读了大量之前看不懂的反序列化文章,目前为止算是对java反序列化这块有了一个阶段性的小理解. 目前为止,发送的所有java反序列化的漏洞中.主要需要两个触发条件: 1. ...

  6. Java反序列化漏洞从入门到深入(转载)

    前言 学习本系列文章需要的Java基础: 了解Java基础语法及结构(菜鸟教程) 了解Java面向对象编程思想(快速理解请上知乎读故事,深入钻研建议买本<疯狂Java讲义>另外有一个刘意老 ...

  7. java反序列化——apache-shiro复现分析

    本文首发于“合天智汇”公众号 作者:Fortheone 看了好久的文章才开始分析调试java的cc链,这个链算是java反序列化漏洞里的基础了.分析调试的shiro也是直接使用了cc链.首先先了解一些 ...

  8. Java反序列化漏洞执行命令回显实现及Exploit下载

    原文地址:http://www.freebuf.com/tools/88908.html 本文原创作者:rebeyond 文中提及的部分技术.工具可能带有一定攻击性,仅供安全学习和教学用途,禁止非法使 ...

  9. Java反序列化漏洞通用利用分析

    原文:http://blog.chaitin.com/2015-11-11_java_unserialize_rce/ 博主也是JAVA的,也研究安全,所以认为这个漏洞非常严重.长亭科技分析的非常细致 ...

随机推荐

  1. 小白自制Linux开发板 一. 瞎抄原理图与乱画PCB

    因为墨云是基于高中物理水平的电路知识来学习.而且此前也就玩过树莓派.Esp8266之类的开发板,水平基础趋近于零,所以在写这个系列的时候抱着记录的心态.还望不足之处还望大佬们指正. <论语> ...

  2. webgl变换:深入图形平移

    在以前的文章里,不管是绘制图形,绘制点亦或者是改变色值,所有的内容都是静态的. 在 webgl 里,图形的运动分为 平移.旋转.缩放 三种类型. 接下来,我们会从零基础开始,一点一点来深入了解图形如何 ...

  3. 关于JAVA的FlowLayout流动布局的换行问题--图形界面

    我在网上寻找Java流动布局换行的方法,看了好久,也没有找到满意的答案. FlowLayout是流式布局,所以如果需要让换行有意义,就得锁定窗口的大小,否则随着窗口的伸缩,布局将被彻底打乱. 网上的方 ...

  4. 五、自定义Zabbix监控项目

    要求: 沿用练习三,使用Zabbix实现自定义监控,实现以下目标:监控Linux服务器系统账户的数量. 方案: 需要使用Zabbix自定义key的方式实现自定义监控,参考如下操作步骤:1.创建自定义k ...

  5. 基于Android平台的图书管理系统的制作(2)

    上一篇讲解了制作图书管理系统的初衷与要求,和app首页的代码. 下面来介绍图书管理系统的服务对象:学生 学生类的设计: 个人信息:账号.密码.姓名.学号.邮箱.年龄. 借阅信息:借阅总数(不超过十本) ...

  6. [apue] linux 文件访问权限那些事儿

    前言 说到 linux 上的文件权限,其实我们在说两个实体,一是文件,二是进程.一个进程能不能访问一个文件,其实由三部分内容决定: 文件的所有者.所在的组: 文件对所有者.组用户.其它用户设置的权限访 ...

  7. Linux关闭打开防火墙命令

    Linux下打开和关闭防火墙 1.及时生效,重启后复原 关闭:service iptables stop  开启:service iptalbes start  查看状态:service iptabl ...

  8. python 字典和列表嵌套用法

    python中字典和列表的使用,在数据处理中应该是最常用的,这两个熟练后基本可以应付大部分场景了.不过网上的基础教程只告诉你列表.字典是什么,如何使用,很少做组合说明. 刚好工作中采集promethe ...

  9. 用Java语言编写的迷宫小游戏软件

    可查看本项目的github 源码链接,撒娇打滚求 star 哦~~ღ( ´・ᴗ・ ` )比心 本仓库代码是经过 eclipse 编译运行过的,一般情况下将本仓库代码下载下来之后,使用 eclipse ...

  10. 用python的matplotlib根据文件里面的数字画图像折线图

    思路:用open打开文件,再用a=filename.readlines()提取每行的数据作为列表的值,然后传递列表给matplotlib并引入对应库画出图像 代码实现:import matplotli ...