shiro漏洞复现及其攻击流量分析

最新推荐文章于 2025-04-21 09:56:17 发布
最新推荐文章于 2025-04-21 09:56:17 发布
阅读量894 收藏 28
点赞数 22
文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Innocence_0/article/details/139513698
版权

前言

最近面试时经常被问到,每次说的都不太完美,现在再来复现一边。

shiro介绍

Apache Shiro是一个开源安全框架,提供身份验证、授权、密码学和会话管理。

CVE-2016-4437

利用vulhub搭建的靶场。

在Apache Shiro <= 1.2.4版本中存在反序列化漏洞。

该漏洞成因在于,Shiro的“记住我”功能是设置cookie中的rememberMe值来实现。当我们给rememberMe赋值时,它会经过一下过程。

  1. 检索cookie中RememberMe的值
  2. Base64解码
  3. 使用AES解密
  4. 反序列化

当我们知道了AES加解密时的密钥(该密钥是写死在代码中)时,我们便可以去修改rememberMe的值,改造其readObject()方法,让其在反序列化时执行任意操作。

服务器接收数据后的流程为

  1. 读取cookie中rememberMe值
  2. base64解码
  3. AES解密
  4. 反序列化

使用工具来执行命令。

![image-20230409134603547](https://img-
blog.csdnimg.cn/img_convert/36811a155067c2149cd3671e73f40d3b.png)

利用wireshark来抓取流量。

![image-20230409134643553](https://img-
blog.csdnimg.cn/img_convert/d7de012346c4f04f9647a3391253ef53.png)

![image-20230409134652305](https://img-
blog.csdnimg.cn/img_convert/6f1e67df83a829f5ef1055f012e283dd.png)

回显时会有一串base64加密的值,代表着命令执行成功。

![image-20230409134742636](https://img-
blog.csdnimg.cn/img_convert/008ea87ac8882eef4cc7c7781a9b9df9.png)

总结:CVE-2016-4437的攻击流量特征有

  1. 请求包Cookie的rememberMe中会存在AES+base64加密的一串java反序列化代码。
  2. 返回包中存在base64加密数据,该数据可作为攻击成功的判定条件。

如果攻击者利用其反弹shell,还可以通过对rememberMe中的数据解码来获得反弹的ip地址。

shrio550和721的区别

  1. 主要区别在于Shiro550使用已知默认密码,只要有足够的密码,不需要Remember Cookie的
  2. Shiro721的ase加密的key为系统随机生成,需要利用登录后的rememberMe去爆破正确的key值。利用有效的RememberMe Cookie作为Padding Oracle Attack的前缀,再去构造反序列化攻击。

CVE-2020-1957

在Spring web项目中,请求URI/resource/menus和/resource/menus/都可以访问到服务器的资源。

但在Shiro中的URL路径表达式pathPattern可以正确匹配/resource/menus,但不能正确匹配/resource/menus/,导致过滤链无法正确匹配,从而绕Shiro的防护机制

直接访问/xxx/…;/admin/可以绕过权限校验访问到管理页面

![image-20230409183223703](https://img-
blog.csdnimg.cn/img_convert/5a9537f4dc040e6af05c64530c8ac8fb.png)
该漏洞的流量分析只能去看请求头加ip的访问频繁次数来判断是否为测试。
![image-20230409183453682](https://img-
blog.csdnimg.cn/img_convert/651c708f56944392f1757c50297cfd72.png)

网络安全工程师(白帽子)企业级学习路线

第一阶段:安全基础(入门)

img

第二阶段:Web渗透(初级网安工程师)

img

第三阶段:进阶部分(中级网络安全工程师)

img

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资源分享

反序列化渗透与攻防(五)之shiro反序列化漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-16 999
Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性Apache1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
【Java小姿势】Log4j2漏洞的前世今生
行雨斋
12-20 3020
A.源起 2021年12月9日,各大公司都被一个重量级漏洞引爆了,该漏洞一旦被攻击者利用就会造成及其严重的影响。经过快速分析和确认,该漏洞影响范围极其广泛,危害极其严重。然后从10日凌晨开始很多公司的程序员都被迫开始应急相应,加班加点修复问题。该漏洞涉及包含但不限于Struts2、Flink、ElasticSearch、Druid、dubbo、Redis、kafka等常用应用和组件。 爆出这个漏洞的这就是大名鼎鼎的日志组件log4j2 。作为日志组件,在java领域基本上是再常见运用不过的了,而这个漏洞可以
shiro反序列化分析
2301_79724395的博客
06-11 1621
Apache Shiro 是一个 Java 安全框架,包括如下功能和特性:Authentication:身份认证/登陆,验证用户是不是拥有相应的身份。在 Shiro 中,所有的操作都是基于当前正在执行的用户,这里称之为一个 Subject,在用户任意代码位置都可以轻易取到这个Subject。
shiro-550漏洞利用流量分析
小林说安全的博客
03-11 887
本报告对test.pcap流量包(模拟shiro550漏洞利用攻击时抓的包)进行了全面分析,揭示了攻击者利用Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)向目标系统注入内存马的完整攻击链。
shiro流量分析
m0_64777251的博客
04-08 1197
Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie。cookie的key为RememberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密,最后在使用base64编码处理形成的。
Apache Shiro流量特征及漏洞利用
qq_53218512的博客
06-02 1680
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权和会话管理等功能。Shiro框架直观、易用,同时也能提供更健壮的安全性。
shiro反序列化及流量分析
qq_58683895的博客
12-09 1429
在 Apache shiro 的框架中,执行身份验证时提供了一个记住密码的功能(RememberMe),如果用户登录时勾选了这个选项。用户的请求数据包中将会在 cookie 字段多出一段数据,这一段数据包含了用户的身份信息,且是经过加密的。加密的过程是:用户信息=>序列化=>AES加密(这一步需要用密钥key)=>base64编码=>添加到 RememberMe Cookie 字段。勾选记住密码之后,下次登录时,服务端会根据客户端请求包中的 cookie 值进行身份验证,无需登录即可访问。
从源码看Log4j2、FastJson漏洞
wdj_yyds的博客
12-31 4636
前言 远程代码漏洞对广大程序员来并不陌生,远程代码执行是指攻击者可能会通过远程调用的方式来攻击或控制计算机设备,无论该设备在哪里。如果远程代码执行的是一个死循环那服务器的CPU不得美滋滋了。 前段时间,Java 界的知名日志框架 Log4j2 发现了远程代码执行漏洞漏洞风暴席卷各大公司,编程届异常火热(加班),我们是万万没想到那么牛逼的日志框架有BUG。 这次安全漏洞也有个小插曲,我司的员工发现了漏洞,上报了Apache没告知GXB,我司也受到了处罚,希望下次引以为戒,不过这事程序员不背锅,管理下次
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5999
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
红队专题-漏洞挖掘-代码审计-反序列化
最新发布
aming小老弟
04-21 1851
TransformedMap⽤于对Java标准数据结构Map做⼀个修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。super(map);
流量分析shiro、behinder
黑战士的博客
04-20 740
shiro流量解密shiro的cookie值会很长,一般分析会直接筛查Lenght长度文件(E) 编辑(E) 视图(L) 跳转(G)带助(H)工具W统计(S)电话()无线(W)分析(A)捕获©QQQU星1100110INFOFROTOCOLTIXENOHTTP139810.7.7.780.1.1.49HTTP64 GET1397HTTP/1.10.7.7.780.1.1.49HTTP139510.7.7.780.1.1.49HTTP1392。
漏洞攻击过程,判断漏洞的流量特征
2301_79328240的博客
12-10 1977
可以看出在包中Referer字段中有一些../进行目录穿越还有hosts、etc 等目录关键字查看本地的文件,如果进行上传图片木马的话文件包含漏洞会造成图片马的执行。在数据包中有一些命令执行的关键字,比如说dir,whoami ,ipconfig等,还有一些被url编码的&字符等,从这可以看出这基本上就是命令注入的攻击。文件读取和文件包含类似不过文件包含可以读取并执行,文件读取只能单纯的读取,在数据包中可以看出GET传参后面有一些windows的目录名称等关键字。页面也返回了读取的hosts文件的信息。
漏洞检测,流量和性能监控
weixin_34410662的博客
03-12 582
漏洞检测,流量和性能监控 N essus Nessus 包括服务器和客户端两部分,可分开安装,也可以安装在一起,下是实验为安装在一台终端上 1.安装客户端,服务器 2.改变PATH,MANPATH路径,方便使用 加在、etc/profile或者~/.bash_profile Vim ~/.bash_profile PATH=$PATH...
Shiro介绍及解析
qq_36854073的博客
09-22 870
一、明白什么是认证和授权 从百度百科上理解的,感觉非常通俗易懂 你要登机,你需要出示你的 passport 和源 ticket,passport 是为了证明你张三确实是你百张三,这就是 认证;而机票是为了证明你张三确实买度了票可以上飞机,这就是 授权。 二、shiro的概念 1.什么是shiro 2.shiro的特性 3.shiro的核心组件 三、shiro实战debug解析(token是用户输入的,info是从缓存和数据库中查出来的, 认证主要做token和info中密码..
Java框架Shiro漏洞工具利用、复现以及流量特征分析
xt350488的博客
08-23 806
博客主页:Shiro(Apache Shiro)是一个强大且灵活的开源安全框架,专为Java应用程序提供安全性解决方案。它由Apache基金会开发和维护,广泛应用于企业级应用程序和Web应用程序中。Shiro的设计目标是简化应用程序的安全性配置和开发过程,提供易于使用的API和丰富的功能。本文主要介绍了Java框架Shiroshiro工具的流量特征,以及漏洞复现
shiro权限绕过&流量特征
m0_74013263的博客
03-14 736
进行处理时会将url进行截断,然后对/xxx/..进行权限校验,校验通过之后再由springboot进行路由分发,然后springboot会将url /xxx/..;假如/admin接口设置了authc拦截器,访问/admin将会被进行权限判断,如果请求的url为/admin/呢,/*的url路径表达式将无法正确匹配,放行。然后进入到spring(servlet)拦截器,而spring中/admin形式和/admin/形式的url访问的资源是一样的,从而导致了绕过。/admin/返回/admin/
wireshark流量分析
FisrtBqy的博客
03-31 1551
流量分析,wireshark使用
网站攻击漏洞shiro
qq_40127376的博客
06-21 235
document.cookie="rememberMe=12345" for (i = 0; i < 10000; i++) { $.get(location.href,function(e){ console.info(e) }) } 控制台中连续执行,导致网站挂掉
shiro721漏洞复现
01-01
### 关于 Apache Shiro 721 漏洞复现 #### 启动含有漏洞的应用环境 为了能够测试和研究Shiro 721漏洞,可以通过Docker来部署一个存在此漏洞的服务实例。具体操作如下所示: ```bash docker run -d -p 8080:8080 vulfocus/shiro-721 ``` 这条命令将会拉取并运行名为`vulfocus/shiro-721`的镜像,在宿主机上开放8080端口用于访问目标应用服务[^1]。 #### 准备攻击工具 针对Shiro框架中存在的反序列化漏洞,有专门开发出来的利用脚本可以帮助研究人员更方便地进行实验性的探索工作。可以从GitHub仓库下载适用于Shiro版本1.2.4的RCE(Remote Code Execution)利用工具: ```bash git clone https://github.com/zhzyker/shiro-1.2.4-rce.git cd shiro-1.2.4-rce/ ``` 上述指令会克隆包含可执行Python脚本在内的项目源码至当前目录下,这些脚本可用于生成恶意请求以触发远程代码执行漏洞[^4]。 #### 构建与发送恶意请求 在准备好以上前提条件之后,就可以按照所选方法构建特定形式的数据包向服务器发起连接尝试。通常情况下,这涉及到创建经过特殊编码处理后的HTTP头部信息或者其他类型的输入参数,使得当它们被应用程序解析时能激活潜在的安全风险点。对于具体的实现细节,则依赖于实际使用的渗透测试工具及其文档说明。 请注意,这里仅作为学习目的描述了如何设置实验环境以及准备必要的资源来进行安全研究;绝不鼓励任何形式非法入侵行为或未经授权的操作实践。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值