01-Shiro550漏洞流程

已于 2024-01-11 16:30:06 修改
阅读量855 收藏
点赞数
分类专栏: 安全研究 文章标签: java shiro反序列化
于 2023-04-30 19:49:10 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/lhh134/article/details/130450849
版权

1. 漏洞原理

Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。
那么,Payload产生的过程:
命令 -> 序列化 -> AES加密 -> base64编码 -> RememberMe Cookie值
在整个漏洞利用过程中,比较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很容易就知道密钥了,Payload构造起来也是十分的简单。
在这里插入图片描述

2. 环境搭建

直接从github上clone代码到本地。

git clone https://github.com/apache/shiro.git
cd shiro
git checkout shiro-root-1.2.4

编辑shiro/samples/web目录下的pom.xml,加一个jstl的版本,否则默认版本解析jsp会报500错误。

<dependency>
    <groupId>javax.servlet</groupId>
    <artifactId>jstl</artifactId>
    <version>1.2</version>
    <scope>provided</scope>
</dependency>

搭建tomcat。
在这里插入图片描述

下载shiro war包
https://github.com/jas502n/SHIRO-550
在这里插入图片描述

加载war包。
点击运行项目,打了一下,能打。
在这里插入图片描述

3. 漏洞流程分析

1、尝试登录shiro,把rememberMe勾上,会返回一大串Cookie,之后的请求都会带着这串Cookie。
在这里插入图片描述

这时候我们思考Cookie里面的内容是什么,一般都是用来存放一些认证信息,比如序列化好的一些认证数据等等。
2、在idea里面找一下数据是怎么处理的,两下shift,快速查找shiro包里面与cookie相关的类名。
在这里插入图片描述

3、CookieRememberMeManager类中和序列化相关的方法:rememberSerializedIdentity
在这里插入图片描述

CookieRememberMeManager类中和反序列化相关的方法:getRememberedSerializedIdentity()
getRememberedSerializedIdentity()的作用是获取序列化加密数据,像是只做了一层base64解密。
在这里插入图片描述

4、找哪里调用了getRememberedSerializedIdentity()。
AbstractRememberMeManager.getRememberedPrincipals()调用了getRememberedSerializedIdentity()
在这里插入图片描述
在这里插入图片描述

可以看到获取bytes以后调用了convertBytesToPrincipals()方法,该方法作用是把解密后的Cookie数据转换成认证信息。
在这里插入图片描述

跟一下convertBytesToPrincipals()方法,该方法作用是解密数据和反序列化数据。
在这里插入图片描述

跟decrypt()。
在这里插入图片描述

发现下列代码传入值分别是"加密的字段"和"加密key"。
cipherService.decrypt(encrypted, getDecryptionCipherKey());
找一下加密key是什么。
继续跟getDecryptionCipherKey(),发现返回decryptionCipherKey的值。
在这里插入图片描述

Find Usage decryptionCipherKey值,找哪里write了decryptionCipherKey,找到了setDecryptionCipherKey()方法。
在这里插入图片描述

继续找谁调用了setDecryptionCipherKey()方法,找到了setCipherKey()方法。
在这里插入图片描述

找谁调用了setCipherKey()方法,找到了AbstractRememberMeManager()方法。
在这里插入图片描述

发现常量DEFAULT_CIPHER_KEY_BYTES
在这里插入图片描述

发现是一个固定的key来做的aes加密。

跟deserialize()。
按住shift一直找,知道找寻到如下代码,可以看到调用了反序列化readObject(),这里如果有依赖的话就可以直接打CC了。
在这里插入图片描述

5、尝试找利用链,看起来java库里是带有有漏洞的CC的。
在这里插入图片描述

但是实际上用Maven Helper插件来看是没有真正运行到程序中的,都是存在于test包中。
在这里插入图片描述

程序实际运行只会把compile、runtime的包打进去,test打不进去。
真正能打的就这个CB。
在这里插入图片描述

6、这里就打URLDNS那个自带的链。
序列化数据 -> key固定aes加密 -> base64

生成URLDNS序列化数据,填写自定义dnslog地址。
在这里插入图片描述
使用脚本将序列化数据先aes加密,再base64。
在这里插入图片描述
在这里插入图片描述

生成加密的序列化数据后在发包利用的时候不能携带已登录的JSESSIONID,如果存在JSESSIONID就不会读取rememberMe了。直接发包,Cookie: rememberMe=[加密后序列化数据]
成功触发dnslog请求。
在这里插入图片描述

4. 参考

https://www.bilibili.com/video/BV1iF411b7bD/?spm_id_from=333.999.0.0&vd_source=04a73463f80a726a1d35327bd426fa6e
http://changxia3.com/2020/09/03/Shiro%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E7%AC%94%E8%AE%B0%E4%B8%80%EF%BC%88%E5%8E%9F%E7%90%86%E7%AF%87%EF%BC%89/

LQxdp
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
shiro550 反序列化漏洞分析
Vicl1fe的博客
03-20 895
环境搭建 我的环境 1、Maven 3.5.2 2、jdk 1.6和jdk1.8(默认java环境是1.8,1.6是用于配置下面的toolchains) 3、IDEA 配置shiro 首先下载shiro-1.2.4:shiro-1.2.4下载。 文件目录如下, 进入samples\web目录下。这就算是漏洞复现的web目录了。 配置Maven 配置一下maven,在maven/conf/toolchains.xml中的toolchains 中添加以下代码。至于为什么要添加,可以看看toolchains的
01-shiro认证流程.md
07-31
自己看的小课件顶
Shiro550漏洞(CVE-2016-4437)
weixin_40151476的博客
03-01 938
Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理等功能。Shiro 框架直观、易用,同时也能提供健壮的安全性。
Shiro550漏洞(CVE-2016-4437)(1),2024年最新算法太TM重要了
最新发布
2401_83973943的博客
04-14 621
接着点击运行账号密码是 root/secret。
Java框架安全篇--Shiro-550漏洞
m0_63138919的博客
03-26 1212
本文章参考qax的网络安全java代码审计和Web漏洞解析与攻防实战和部分师傅审计思路以及Shiro靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
Shiro-550 漏洞分析
whojoe的博客
06-06 2827
Shiro 550 漏洞学习漏洞原理环境搭建本地环境远程tomcatidea本地tomcat 漏洞原理 在 Shiro <= 1.2.4 中,AES 加密算法的key是硬编码在源码中,当我们勾选remember me 的时候 shiro 会将我们的 cookie 信息序列化并且加密存储在 Cookie 的 rememberMe字段中,这样在下次请求时会读取 Cookie 中的 rememberMe字段并且进行解密然后反序列化 由于 AES 加密是对称式加密(Key 既能加密数据也能解密数据),所以当我
shiro-550反序列化漏洞
weixin_66717977的博客
03-21 1113
基于docker的shrio反序列化漏洞复现
S09-shiro550反序列学习1
08-03
总之,“S09-shiro550反序列学习1”是一个关于 Shiro RememberMe 模块安全问题的研究,涉及到序列化、加密、解密等关键流程,以及如何利用这些流程中的漏洞进行攻击。理解这些细节有助于我们在实际应用中更好地防范...
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle 漏洞利用
03-29
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle Shiro721 RememberMe Padding Oracle影响版本: - Apache Shiro 1.2.5,1.2.6,1.3.0,1.3.1,1.3.2,1.4.0-RC2,1.4.0,1.4.1 CVE-2016-4437 ...
shiro-core 低版本漏洞检测
01-31
shiro-core 低版本漏洞检测工具
FEBS-Shiro-jht:FEBS-Shiro个人适应版
02-19
FEBS-Shiro-jht FEBS-Shiro个人适应版 原版地址 原因:主要是因为懒,想找个技术较新,干净的项目作为开发的基础框架,于是找到了FEBS-Shiro初步技术不考虑,前端使用layui解决所有是我最喜欢的 个人适应版修改点:...
shiro550反序列化漏洞分析
遇事不决冲冲冲
02-06 3551
Apache Shiro是一个开源安全框架,提供身份验证、授权、密码学和会话管理。在Apache Shiro
Java反序列化Shiro-550漏洞分析笔记
qq_48201589的博客
01-29 1535
ShiroAES加密-->Base64加密的过程,接收后会进行Base64解密-->AES解密-->反序列化进行验证身份信息。漏洞点在于AES加密为对称加密,而加密时利用的key为固定值,这就导致,我们可以生成一条恶意的payload,进而达到RCE的目的。
深入浅出带你学习shiro-550漏洞
军火库
02-16 404
简单带大家总结了一下shiro550反序列化漏洞,不知道大家学习的怎么样了,简单来看shiro框架命令执行的的执行流程可以简单概括为:命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值,我们根据上面源码的分析以及它硬编码的特性,便可以进行攻击,当然这只是最简单的利用,我们也可以结合其他利用链来构造攻击链接,有兴趣的小伙伴可以自己去尝试一下。
Shiro反序列化漏洞shiro550流程分析
人若无名,便可专心练剑
03-13 1411
Shiro-550反序列化漏洞大约在2016年就被披露了,但感觉直到近一两年,在各种攻防演练中这个漏洞才真正走进了大家的视野,Shiro-550反序列化应该可以算是这一两年最好用的RCE漏洞之一,原因有很多:Shiro框架使用广泛,漏洞影响范围广;攻击payload经过AES加密,很多安全防护设备无法识别/拦截攻击……
[Java安全学习]Shiro550原理分析以及攻击演示
GX233的博客
07-13 565
Shiro550反序列化漏洞原理分析与攻击
shiro550反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-16 1万+
本文是shiro550漏洞(CVE-2016-4437)的漏洞原理和漏洞复现。本文所有使用的工具和脚本都会在文末给出链接。使用vulhub搭建靶场,漏洞复现包括手动构造cookie的payload或使用shiro550的图形化漏洞利用工具,最终实现反弹shell和任意命令执行。
JAVA安全之Shrio550-721漏洞原理及复现
shelter1234567的博客
11-16 1586
关于shrio漏洞,网上有很多博文讲解,这些博文对漏洞的解释似乎有一套约定俗成的说辞,让人云里来云里去,都没有对漏洞产生的原因深入地去探究.....本文从现象到本质,旨在解释清楚Shrio漏洞是怎么回事!550和721到底有什么区别!两者利用前提到底是什么?(有别于网络上的解释,如有错误还望大佬及时指正)
shiro-550 漏洞原理分析
06-06
Shiro-550漏洞是Apache Shiro框架的一种远程代码执行漏洞。Apache Shiro是一个开源的安全框架,用于认证、授权和加密等安全操作。该漏洞的原理是由于Shiro框架在反序列化时存在漏洞,攻击者可以通过构造恶意的序列化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LQxdp

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值