Shiro反序列化漏洞原理详解及复现

于 2023-05-17 22:35:21 发布
阅读量386 收藏 1
点赞数
文章标签: 网络安全 数据库 sql mysql web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MachineGunJoe/article/details/130736351
版权

1 环境搭建

采用vulhub的shiro环境

# docker-compose up -d

访问8080端口测试是否成功

2 漏洞原理及利用

Shiro是一款开源安全框架,用于身份验证、授权和会话管理

0x01 漏洞探测

在登录时勾选Remember me,burp抓包可以看到,响应包的set-cookie字段存在rememberMe


后续访问时,cookie中携带rememberMe(由于在repeater测试,因此两次抓到的rememberMe不同)

反之,如果不勾选Remember me,则set-cookie时rememberMe=deleteMe

基于此特征,可以大致判断出网站是否使用shiro,是否存在漏洞

0x02 漏洞原理

此处不对源码进行详细分析,具体分析可以看大佬的这篇
服务端在接收到cookie后,会对cookie进行三部操作

  1. 检索rememberMe字段

  2. base64解码(从上图中也可以看出rememberMe字段进行了base64编码)

  3. AES解密,shiro默认加密方式,存在padding oracle攻击及密钥泄露,是可以利用的核心

  4. 对AES解密出的内容进行反序列化,此处为漏洞成因

0x03 漏洞利用

首先利用URLDNS链判断是否可以利用
URLDNS链从HashMap.readObject方法起始,经过HashMap.Hash->URL.hashCode->URLStreamHandler.hashCode,最终到URLStreamHandler.getHostAddress发送一次解析请求

利用ysoserial生成URLDNS链

$java -jar ysoserial URLDNS 'http://xxx.dnslog.cn'>1.txt

编写脚本对payload进行加密编码(后续放在github上)
删除JSESSIONID(当该字段存在时,不检测rememberMe),修改rememberMe为加密后的值发送


查看dnslog,成功发送请求,证明存在可利用漏洞

生成CC链,再次按照上述方式发送,执行命令为反弹shell(CC6可打通),注意vulhub靶机本身没有nc,如果使用nc需要先上传

3 其他版本反序列化漏洞

shiro721:1.4.2版本以下仍采用CBC加密,但密钥不再硬编码,因此可以使用padding oracle实现攻击
1.4.2+:加密方式变为GCM

4 防御

  1. 升级shiro版本

  2. 限制rememberMe字段长度

我是黑客
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
shiro 序列漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 序列漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修验证等
Apache Shiro权限绕过漏洞(CVE-2022-32532)
weixin_54438700的博客
12-15 2698
Shiro是Apache旗下一个开源的Java安全框架,它具有身份验证、访问控制、数据加密、会话管理等功能,可以用于保护任何应用程序的安全,如移动应用程序、web应用程序等。2022年6月29日,Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532),当 Apache Shiro 中使用 RegexRequestMatcher 进行权限配置,且正则表达式中携带“.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证。
渗透系列之shiro序列漏洞检测及案例操作流程
Websec
09-15 6962
参考开源工具即可: https://github.com/feihong-cs/ShiroExploit 原文如下: ShiroExploit 支持对Shiro550(硬编码秘钥)和Shiro721(Padding Oracle)的一键检测,支持多种回显方式 使用说明 第一步:按要求输入要检测的目标URL和选择漏洞类型 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/
shiro序列漏洞原理
LJH1999ZN的博客
03-31 1万+
一、shiro简介 Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。Shiro首要的和最重要的目标就是容易使用并且容易理解。 二、shiro的身份认证工作流程 通过前端传入的值, 获取rememberMe cookie base64加密 AES加密 (对称加解密) 序列 三、shiro序列漏洞原理 AES加密的密钥Key被硬编码在代码里,意味着每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列,AES
shiro550序列漏洞原理漏洞(基于vulhub,保姆级的详细教程)
Bossfrank的博客
04-16 9696
本文是shiro550漏洞(CVE-2016-4437)的漏洞原理漏洞。本文所有使用的工具和脚本都会在文末给出链接。使用vulhub搭建靶场,漏洞包括手动构造cookie的payload或使用shiro550的图形漏洞利用工具,最终实弹shell和任意命令执行。
[Java序列]—Shiro序列(一)
Sentiment的博客
06-27 2717
前篇进行了shiro550的IDEA配置,本篇就来通过urldns链来检测shiro550序列的存在Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再序列,就导致了序列RCE漏洞。 那么,Payload产生的过程: 命令=>序列=>AES加密=>base64编码=>RememberMe Cookie值 在整个漏洞利用过程中,比较重要的是AE
shiro 721 序列漏洞原理以及Padding Oracle Attack攻击加解密原理
Shanfenglan's blog
11-14 1万+
文章目录利用条件shiro550shiro721环境搭建漏洞 利用条件 shiro550 知道key且目标服务器含有可利用的攻击链 影响版本:1.2.4以下 shiro721 知道已经登陆用户的合法cookie,利用padding orcale 加密生成恶意rememberme的值进行利用 影响版本: 1.2.5, 1.2.6, 1.3.0, 1.3.1, 1.3.2, 1.4.0-RC2, 1.4.0, 1.4.1 环境搭建 git clone https://github.com/inspiri
Shiro漏洞检测
weixin_43554548的博客
05-10 8989
关于Shiro漏洞检测工具的使用说明Shiro-550序列漏洞简介漏洞检测工具工具一:ShiroExploit工具二:shiro_attack-2.2补充说明 Shiro-550序列漏洞简介 漏洞简介: Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户
Shiro序列漏洞检测工具
01-05
Shiro1.2.4及以下版本存在序列漏洞,该工具用于测试该漏洞
shiro序列漏洞暴力破解漏洞检测工具
09-14
1.shiro序列漏洞、暴力破解漏洞检测工具源码 2.shiro序列漏洞、暴力破解漏洞检测工具jar包 3.shiro序列漏洞、暴力破解漏洞检测工具启动方法 4.shiro序列漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
shiro序列漏洞利用工具
11-09
图形界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果...
Shiro序列漏洞Shiro版本升级资源
06-22
从上面我们了解到,序列漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式: 方法一:自行实key值 方法二:升级到1.2.5版本或以上 那么在我的项目中,选择的是升级...
shiro-序列漏洞
weixin_54217950的博客
07-26 6298
shiro序列漏洞
shiro序列漏洞学习(工具+原理+
qq_49849300的博客
03-10 1万+
由于shiro序列需要用到AES加密,而该加密方法的密钥是加解密一致的,所以我们使用shiro序列时,AES加密的密钥必须跟服务器一致,所以经常需要盲猜服务器的密钥,好在java开发们一般都不会去修改它,而且常常直接copy论坛和github上的代码,所以可以大量收集各种密钥,然后遍历来完成序列漏洞利用。过来,把字节序列(json/xml)恢为Java对象的过程就叫序列。"方法,Base64.decode()中的字符串就是shiro的密钥,要确保该密钥的安全性,千万不要使用公开的密钥。
Shiro框架漏洞分析与
未完成的歌~的博客
05-15 3813
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性,可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。
Shiro序列问题修
weixin_38277138的博客
05-15 1802
Shiro序列问题修
shiro序列搭建、利用、漏洞原理
芜湖~米汤来喽~
01-07 1014
Shiro框架下框架供了记住密码的功能(RememberMe)用户登陆成功后会生成一个经过加密的Cookie其Cookie的RememberMe的Value的值是经过序列、AES加密和base64编码后得到的结果。由于使用了AES加密,在Shiro1.2.4版本之前AES加密默认密钥的Base64编码值为kPH+bIxk5D2deZiIxcaaaA==,于是就可得到Payload的构造流程:恶意命令–>序列–>AES加密–>base64编码–>发送Cookie–>回显数据–>数据解码。
Shiro在请求头中获取sessionId以及rememberMe信息
热门推荐
_好好学习的博客
01-30 1万+
默认情况,Shiro会把sessionId或rememberMe放入cookie中,每次请求会在cookie中获取,但在前后端分离下,跨域请求会导致cookie保存失败,本人介绍把sessionId或rememberMe放入request header中,兼容PC、App以及移动端浏览器。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8233
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
shiro序列漏洞原理
最新发布
06-08
Shiro 是一个 Java 安全框架,可以提供身份认证、授权、加密等安全功能。其中,Shiro序列序列机制被广泛使用。然而,Shiro序列机制存在漏洞,攻击者可以利用此漏洞远程代码执行。 漏洞产生的原因是 Shiro序列时没有对序列数据进行充分的验证和过滤,导致恶意输入可以触发序列操作,并执行恶意代码。攻击者可以通过修改 Shiro 中的 session 和 rememberMe cookie,将恶意序列数据写入到 cookie 中,当用户登录时,Shiro 会自动序列 cookie 中的数据,从而导致远程代码执行漏洞。 攻击者可以利用 Shiro 序列漏洞远程命令执行、文件读取、目录遍历等攻击行为。为了防范此类漏洞,建议使用最新版本的 Shiro,避免使用弱密码和默认的加密算法,使用其他安全机制如 CSRF 防护、输入验证等技术来减少攻击面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是黑客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值