以“防方视角”观Shiro反序列化漏洞

news/2024/4/17 18:14:35

为方便您的阅读,可点击下方蓝色字体,进行跳转↓↓↓

    • 01 案例概述
    • 02 攻击路径
    • 03 防方思路

01 案例概述


这篇文章来自微信公众号“潇湘信安”,记录的某师傅如何发现、利用Shiro反序列化漏洞,又是怎样绕过火绒安全防护实现文件落地、添加管理员,最后进入远程桌面,以及在测试过程中遇到的一些坑。

记一次Shiro反序列化到远程桌面【原文链接】

在这里插入图片描述

02 攻击路径


(1)攻击者的突破点是通过信息收集发现某单位站点采用Shiro认证框架,通过漏洞扫描工具Xray成功检测出Key值由此判断存在Shiro反序列化漏洞。

(2)攻击者通过Shiro反序列化漏洞执行系统命令,试图远程下载恶意文件,但由于站点服务器存在火绒杀毒软件,执行远程下载的系统命令被杀毒软件检测到并拦截。

(3)攻击者通过变形后的certutil命令绕过杀毒软件检测执行远程下载命令,在站点服务器上落地恶意文件并成功执行,获取目标服务器权限,并进一步开启远程桌面服务实现远控。

在这里插入图片描述

03 防方思路


站在防守单位的角度需吸取本案例的经验教训:

(1)系统开发过程引入第三方组件或采用开源框架时,需谨慎识别是否为存在漏洞问题版本,确保第三方组件安全。

(2)持续关注第三方组件以及开源框架近期披露的安全问题,依据官方建议及时安装修复补丁或升级至安全版本。

(3)定期更新杀毒软件的病毒特征库、安全防护规则,严格限定服务器对公网开放端口及通信协议,限制互联网用户可访问的网络范围。


在这里插入图片描述


https://www.xjx100.cn/news/3090445.html

相关文章

开发仿抖音APP遇到的问题和解决方案

uni-app如何引入阿里矢量库图标/uniapp 中引入 iconfont 文件报错文件查找失败 uni-app如何引入阿里矢量库图标 - 知乎 uniapp 中引入 iconfont 文件报错文件查找失败:‘./iconfont.woff?t1673007495384‘ at App.vue:6_宝马金鞍901的博客-CSDN博客 将课件中的cs…

ubuntu linux C/C++环境搭建

目录 前言 1.1 vim安装与配置 ​编辑 1.2 vim配置 1.3 gcc g编译器的安装 与gdb调试器的安装 1.4 写个C/C程序测试一下 1.6 vscode安装 1.7 vscode插件下载​编辑 前言 在开始C之前,我们需要搭建好C的开发环境,我这里使用的操作系统是ubuntu Linux&a…

自然语言处理:Transformer与GPT

Transformer和GPT(Generative Pre-trained Transformer)是深度学习和自然语言处理(NLP)领域的两个重要概念,它们之间存在密切的关系但也有明显的不同。 1 基本概念 1.1 Transformer基本概念 Transformer是一种深度学…

流体的压力

压力是流体力学中很重要的物理量,国际标准单位为 Pa(帕斯卡),其他常用单位包括 MPa(兆帕)、atm(标准大气压)、Torr(托) 等。 在流体内部,压力是标…

王者荣耀游戏

游戏运行如下: sxt Background package sxt;import java.awt.*; //背景类 public class Background extends GameObject{public Background(GameFrame gameFrame) {super(gameFrame);}Image bg Toolkit.getDefaultToolkit().getImage("C:\\Users\\24465\\D…

SVG圆形 <circle>的示例代码

本专栏是汇集了一些HTML常常被遗忘的知识,这里算是温故而知新,往往这些零碎的知识点,在你开发中能起到炸惊效果。我们每个人都没有过目不忘,过久不忘的本事,就让这一点点知识慢慢渗透你的脑海。 本专栏的风格是力求简洁…

MATLAB中std函数用法

目录 语法 说明 示例 矩阵列的标准差 三维数组的标准差 指定标准差权重 矩阵行的标准差 数组页的标准差 排除缺失值的标准差 标准差和均值 标准差 std函数的功能是得到标准差。 语法 S std(A) S std(A,w) S std(A,w,"all") S std(A,w,dim) S std(A…

8 Redis与Lua

LUA脚本语言是C开发的,类似存储过程,是为了实现完整的原子性操作,可以用来补充redis弱事务的缺点. 1、LUA脚本的好处 2、Lua脚本限流实战 支持分布式 import org.springframework.core.io.ClassPathResource; import org.springframework.data.redis…