CC1在高版本下不能使用,但是CC6做到了高版本兼容。在CC6中绘制出流程图如下:
TiedMapEntry在LazyMap中的get()方法中调用了transform()这个方法,所以向上查找LazyMap.get()引用,找到了TiedMapEntry这个类。这个类中有以下三个方法:
12345678910111213public TiedMapEntry(Map map, Object key) { super(); this.map = map; this.key = key;}public Object getValue() { return map.get(key);}public int hashCode() { Object value = getValue(); return (getKey() == null ? 0 : getKey().hashCode()) ^ (value == null ? 0 : value.hashCode()); }
...
简介Apache Shiro是⼀个功能强⼤且易于使⽤的Java安全框架,它⽤于处理身份验证,授权,加密和会话管理在默认情况下, Apache Shiro使⽤CookieRememberMeManager对⽤户身份进⾏序列化/反序列化,加密/解密和编码/解码,以供以后检索。
当Apache Shiro接收到未经身份验证的⽤户请求时 , 会执⾏以下操作来寻找他们被记住的身份。
从请求数据包中提取Cookie中rememberMe字段的值,对提取的Cookie值进⾏Base64解码
对Base64解码后的值进⾏AES解密
对解密后的字节数组调⽤ObjectInputStream.readObject()⽅法来反序列化。
但是默认AES加密密钥是“硬编码” 在代码中的。因此,如果服务端采⽤默认加密密钥,那么攻击者就可以构造⼀个恶意对象,并对其进⾏序列化,AES加密,Base64编码,将其作为Cookie中rememberMe字段值发送。Apache Shiro在接收到请求时会反序列化恶意对象,从⽽执⾏攻击者指定的任意代码。
shiro550 shiro < ...
方法一:Remote Linux debugger在IDA的/dbgsrv目录下有
将这两个文件移动到Linux环境下,然后赋予权限:
12chmod 777 linux_serverchmod 777 linux_server64
启动对应文件:
1./linux_server
此时Linux环境就准备好了,接下来配置IDA,选择Remote Linux debugger调试器,然后F9,此时会出现以下内容:
其中应用程序和输入文件均为调试文件在Linux下的路径(包括文件名),目录则为上面的路径去掉文件名后的路径。主机名称为Linux的IP,端口默认23946。
注意:调试的程序也需要赋予权限
1chmod 777 xxx
方法二:Remote GDB debuggerGDB需要使用gdbserver来进行远程协助,首先启动服务:
1gdbserver localhost:port progress_name
port:指定一个闲置端口
progress_name:这个随意取个名字即可
接下来在IDA中配置,IDA中按下F9:
应用程序和输入文件均为调试文 ...
环境配置JavaJava版本应在8u71之前,后续版本已经修复。java历史版本下载:https://www.oracle.com/java/technologies/javase/javase8-archive-downloads.html
commons-collections该依赖版本应在3.1-3.2.1之间
源码在java安装路径下解压src.zip,然后下载sun的源码到src文件夹,可以在以下网址寻找对应版本的sun包:https://hg.openjdk.org/
IDEA首先安装好maven,新版默认绑定,然后插件会自动安装。新建一个maven的项目环境,之后项目结构会如下图所示:
在pom.xml中的<project>标签下导入依赖:
1234567<dependencies> <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</arti ...
HashMap的put查看HashMap这个类的 put()方法:
123public V put(K key, V value) { return putVal(hash(key), key, value, false, true);}
调用了 hash()方法,跟进 hash()方法:
1234static final int hash(Object key) { int h; return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);}
这里调用了传入参数的 hashCode()方法。而 URL类中就有一个这样的方法:
1234567public synchronized int hashCode() { if (hashCode != -1) return hashCode; hashCode = handler.hashCode(this); return hashCode;}
可 ...
Pass-01
上传shell.php,这里已经打开的BP进行抓包,但是点击上传后还没拦截到包就弹窗了,说明这是一个前端校验,那么这里可以选择禁用js或者BP拦截改后缀。
Pass-02第二关检查MIME(Content-Type),那么直接BP拦截修改Content-Type请求头即可。
Pass-03
上传shell发现提示,那么选择大小写绕过,发现不行,那么试试php5。
成功上传。但是访问发现没有当成php文件进行解析。这里其实就涉及到php解析的相关知识了,虽然apache的服务器可以解析将文件作为php文件进行解释,但是这也不是绝对的。在apache的配置文件中找到:AddType application/x-httpd-php将注释解除变更为: AddType application/x-httpd-php .php .phtml .phps .php5 .pht就可以解析了。
保存然后重新载入配置文件即可解析该文件。
Pass-04看一眼源码:
123456789101112131415161718192021222324252627$is_upload = f ...
