基础的框架漏洞 6

一、log4j远程代码执行漏洞

原理:
Log4j是Apache的一个开源项目，是一款基于Java的开源日志记录工具。该漏洞主要是由于日志在打印时当遇到"${"后，以:号作为分割，将表达式内容分割成两部分，前面一部分prefix，后面部分作为key，然后通过prefix去找对应的lookup，通过对应的lookup实例调用lookup方法，最后将key作为参数带入执行，引发远程代码执行漏洞。

具体操作:
在正常的log处理过程中对"$["这两个紧邻的字符做了检测，一旦匹配到类似于表达式结构的字符串就会触发替换机制，将表达式的内容替换为表达式解析后的内容，而不是表达式本身，从而导致攻击者构造符合要求的表达式供系统执行。

 

二、fastjison漏洞

判断:

正常请求是get请求并且没有请求体，可以通过构造错误的POST请求，即可查看在返回包中是否有fastison这个字符串来判断。

原理:
fastjson是阿里巴巴开发的一款将json字符串和java对象进行序列化和反序列化的开源json解析库。fastjson提供了autotype功能，在请求过程中，我们可以在请求包中通过修改@type的值，来反序列化为指定的类型，而fastjson在反序列化过程中会设置和获取类中的属性，如果类中存在恶意方法，就会导致代码执行等这类问题。

无回显怎么办？

1.一种是直接将命令执行结果写入到静态资源文件里，如html、js等，然后通过http访问就可以直接看到结果。

2.通过dnslog进行数据外带，但如果无法执行dns请求就无法验证了。

3.直接将命令执行结果回显到请求Poc的HTTP响应中。

 

三、shrio反序列化漏洞

原理:
Shiro是Apache下的一个开源Java安全框架，执行身份认证，授权，密码和会话管理。shiro在用户登录时除了账号密码外还提供了可传递选项rememberme。用户在登录时如果勾选了rememberme选项，那么在下一次登录时浏览器会携带cookie中的rememberme字段发起请求，就不需要重新输入用户名和密码。

判断:
1.数据返回包中包含rememberMe=deleteMe字段。

2.直接发送原数据包，返回的数据中不存在关键字可以通过在发送数据包的cookie中增加字段:rememberMe=然后查看返回数据包中是否存在关键字。

shiro-550:
shiro反序列化漏洞利用有两个关键点，首先是在shiro<1.24时，AES加密的密钥Key被硬编码在代码里，只要能获取到这个key就可以构造恶意数据让shiro识别为正常数据。另外就是shiro在验证rememberMe时使用了readObject方法。
readObject用来执行反序列化后需要执行的代码片段，从而造成恶意命令可以被执行。攻击者构造恶意代码，并且序列化，AES加密，base64编码后，作为cookie的rememberMe字段发送。Shiro将rememberMe进行编码，解密并且反序列化，最终造成反序列化漏洞。
shiro-721:
不需要key，利用Padding Oracle Attack构造出RememberMe字段后段的值结合合法的Remember。