记录shiro反序列化漏洞解决方案

最新推荐文章于 2024-08-07 19:51:54 发布
最新推荐文章于 2024-08-07 19:51:54 发布
阅读量1.1k 收藏 2
点赞数 2
分类专栏: 随笔 文章标签: 安全 java 加密解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuqi_123java/article/details/113251106
版权

出现原因

Apache Shiro < 1.2.4的版本会出现shiro反序列化漏洞问题,攻击者可以使用Shiro的默认密钥构造恶意序列化对象进行编码来伪造用户的Cookie,服务端反序列化时触发漏洞,从而执行命令。

只要rememberMe的AES加密密钥泄漏,无论shiro什么版本都会导致反序列化漏洞。

给大家分享一下近期遇到项目的处理方式,尚有上升空间,请前辈们指教!

bean配置形式处理

首先检查项目的ShiroConfig(shiro配置类)rememberMeManager()记住我方法。其中cookieRememberMeManager.setCipherKey(“字符”),字符一般会设置为默认的,不注意的话就会造成反序列化漏洞,这里我设置成RSA随机加密的形式,这样就不会出错。
下面上代码:

/**
     * 记住我
     */
    public CookieRememberMeManager rememberMeManager() throws Exception {
        Map<String, Object> keyMap = RSAUtil.initKey();
        //生成公钥
        String publicKey = RSAUtil.getPublicKey(keyMap);
        //生成私钥
        String privateKey = RSAUtil.getPrivateKey(keyMap);
        //这里设置自己想要的字符
        String sourceString = "随机字符";
        byte[] encodedData = RSAUtil.encrypt(sourceString.getBytes(), publicKey, true);
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(rememberMeCookie());
        cookieRememberMeManager.setCipherKey(encodedData);
       );
        return cookieRememberMeManager;
    }

RSA工具类:

import javax.crypto.Cipher;
import java.security.*;
import java.security.interfaces.RSAPrivateKey;
import java.security.interfaces.RSAPublicKey;
import java.security.spec.PKCS8EncodedKeySpec;
import java.security.spec.X509EncodedKeySpec;
import java.util.HashMap;
import java.util.Map;

/**
 * RSA工具类
 */
public class RSAUtil {

    public static final String ENCRYPTION_ALGORITHM = "RSA";
    public static final String SIGNATURE_ALGORITHM = "MD5withRSA";

    /**
     * 生成密钥
     */
    public static Map<String, Object> initKey() throws Exception {
        /* 初始化密钥生成器 */
        KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance(ENCRYPTION_ALGORITHM);
        keyPairGenerator.initialize(1024);

        /* 生成密钥 */
        KeyPair keyPair = keyPairGenerator.generateKeyPair();
        RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
        RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();

        Map<String, Object> keyMap = new HashMap<String, Object>(2);
        keyMap.put("PublicKey", publicKey);
        keyMap.put("PrivateKey", privateKey);
        return keyMap;
    }

    /**
     * 取得公钥
     */
    public static String getPublicKey(Map<String, Object> keyMap)
            throws Exception {
        Key key = (Key) keyMap.get("PublicKey");
        return Base64Util.encryptBASE64(key.getEncoded());
    }

    /**
     * 取得私钥
     */
    public static String getPrivateKey(Map<String, Object> keyMap)
            throws Exception {
        Key key = (Key) keyMap.get("PrivateKey");
        return Base64Util.encryptBASE64(key.getEncoded());
    }

    /**
     * 加密
     */
    public static byte[] encrypt(byte[] data, String keyString, boolean isPublic) throws Exception {
        Map<String, Object> keyAndFactoryMap = RSAUtil.generateKeyAndFactory(keyString, isPublic);
        KeyFactory keyFactory = RSAUtil.getKeyFactory(keyAndFactoryMap);
        Key key = RSAUtil.getKey(keyAndFactoryMap);

        // 对数据加密
        Cipher cipher = Cipher.getInstance(keyFactory.getAlgorithm());
        cipher.init(Cipher.ENCRYPT_MODE, key);

        return cipher.doFinal(data);
    }

    /**
     * 解密
     */
    public static byte[] decrypt(byte[] data, String keyString, boolean isPublic) throws Exception {
        Map<String, Object> keyAndFactoryMap = RSAUtil.generateKeyAndFactory(keyString, isPublic);
        KeyFactory keyFactory = RSAUtil.getKeyFactory(keyAndFactoryMap);
        Key key = RSAUtil.getKey(keyAndFactoryMap);

        // 对数据加密
        Cipher cipher = Cipher.getInstance(keyFactory.getAlgorithm());
        cipher.init(Cipher.DECRYPT_MODE, key);

        return cipher.doFinal(data);
    }

    /**
     * 生成钥匙
     */
    public static Map<String, Object> generateKeyAndFactory(String keyString, boolean isPublic) throws Exception {
        byte[] keyBytes = Base64Util.decryptBASE64(keyString);

        KeyFactory keyFactory = KeyFactory.getInstance(ENCRYPTION_ALGORITHM);
        Key key = null;
        if (isPublic) {
            X509EncodedKeySpec x509KeySpec = new X509EncodedKeySpec(keyBytes);
            key = keyFactory.generatePublic(x509KeySpec);
        } else {
            PKCS8EncodedKeySpec pkcs8KeySpec = new PKCS8EncodedKeySpec(keyBytes);
            key = keyFactory.generatePrivate(pkcs8KeySpec);
        }

        Map<String, Object> keyAndFactoryMap = new HashMap<String, Object>(2);
        keyAndFactoryMap.put("key", key);
        keyAndFactoryMap.put("keyFactory", keyFactory);

        return keyAndFactoryMap;
    }

    /**
     * 从指定对象中获取钥匙
     */
    public static Key getKey(Map<String, Object> map) {
        if (map.get("key") == null) {
            return null;
        }
        return (Key)map.get("key");
    }

    /**
     * 从指定对象中获取钥匙工厂
     */
    public static KeyFactory getKeyFactory(Map<String, Object> map) {
        if (map.get("keyFactory") == null) {
            return null;
        }
        return (KeyFactory)map.get("keyFactory");
    }

    /**
     * 对信息生成数字签名(用私钥)
     */
    public static String sign(byte[] data, String keyString) throws Exception {
        Map<String, Object> keyAndFactoryMap = RSAUtil.generateKeyAndFactory(keyString, false);
        Key key = RSAUtil.getKey(keyAndFactoryMap);

        PrivateKey privateKey = (PrivateKey)key;

        // 用私钥对信息生成数字签名
        Signature signature = Signature.getInstance(SIGNATURE_ALGORITHM);
        signature.initSign(privateKey);
        signature.update(data);

        return Base64Util.encryptBASE64(signature.sign());
    }

    /**
     * 校验数字签名(用公钥)
     */
    public static boolean verify(byte[] data, String keyString, String sign)
            throws Exception {
        Map<String, Object> keyAndFactoryMap = RSAUtil.generateKeyAndFactory(keyString, true);
        Key key = RSAUtil.getKey(keyAndFactoryMap);

        PublicKey publicKey = (PublicKey)key;

        // 取公钥匙对象
        Signature signature = Signature.getInstance(SIGNATURE_ALGORITHM);
        signature.initVerify(publicKey);
        signature.update(data);

        // 验证签名是否正常
        return signature.verify(Base64Util.decryptBASE64(sign));
    }

    public static void main(String[] args) throws Exception {
        Map<String, Object> keyMap = RSAUtil.initKey();
        //生成公钥
        String publicKey = RSAUtil.getPublicKey(keyMap);
        //生成私钥
        String privateKey = RSAUtil.getPrivateKey(keyMap);
        System.out.println("公钥 -> " + publicKey);
        System.out.println("私钥 -> " + privateKey);
        System.out.println("公钥加密,私钥解密");
        String sourceString = "test";
        byte[] encodedData = RSAUtil.encrypt(sourceString.getBytes(), publicKey, true);
        byte[] decodedData = RSAUtil.decrypt(encodedData, privateKey, false);
        String targetString = new String(decodedData);
        System.out.println("加密前: " + sourceString + ",解密后: " + targetString);
        System.out.println("私钥签名,公钥验证签名");
        byte[] data = sourceString.getBytes();
        // 产生签名
        String sign = RSAUtil.sign(data, privateKey);
        System.out.println("签名 -> " + sign);
        // 验证签名
        boolean status = RSAUtil.verify(data, publicKey, sign);
        System.out.println("状态 -> " + status);

    }

}

xml配置形式处理

其他版本的处理方式(比较老的架构)
在shiro-context.xml里,可以用下面处理方式:

<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
		<property name="cipherKey" value="#{T(com.cms.common.util.GenerateCipherKey).generateNewKey()}"></property>
</bean>

下面是随机码工具类:

import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import java.security.NoSuchAlgorithmException;

public class GenerateCipherKey {

    /**
     * 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey(int)
     * @return
     */
    public static byte[] generateNewKey() {
        KeyGenerator kg;
        try {
            kg = KeyGenerator.getInstance("AES");
        } catch (NoSuchAlgorithmException var5) {
            String msg = "Unable to acquire AES algorithm.  This is required to function.";
            throw new IllegalStateException(msg, var5);
        }

        kg.init(128);
        SecretKey key = kg.generateKey();
        byte[] encoded = key.getEncoded();
        return encoded;
    }
}
liuqi_123java
关注
专栏目录
Apache Shiro身份验证绕过漏洞处置方案
文公子的博客
11-03 1646
Apache Shiro身份验证绕过漏洞处置方案 2020年8月18日Apache Shiro官方发布安全通告 Apache Shiro身份验证绕过漏洞(CVE-2020-13933),经过分析,攻击者可以通过构造特殊的HTTP请求实现身份验证绕过。鉴于该漏洞影响较大,建议尽快升级到最新版本。 漏洞描述 Apache Shiro是一个强大且易用的Java安全框架,通过它可以执行身份验证、授权、密码和会话管理。使用Shiro的易用API,您可以快速、轻松地保护任何应用程序——从最小的移动应用程序到最大的WEB
Apache Shiro反序列化漏洞研究及解决方法
热门推荐
技术点滴
04-02 1万+
前言 一个阳光明媚的午休,我正惬意的喝着茶听着音乐,享受美好生活的时候,客户的QQ头像闪动了,原以为是出了什么新需求临时需要调整,没想到客户反馈的是平台出现了严重漏洞,不敢小视,抄起电脑开弄 我根据客户给出的安全厂商反馈的问题,总结如下: 1,Shiro反序列化漏洞 2,提到了dnslog.cn平台 了解Shiro反序列化漏洞 参考官方的JIRA文档记录,https://issues....
shrio反序列漏洞修复_Shiro-550反序列化漏洞复现
weixin_42172204的博客
01-17 828
0x01 漏洞简介Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。影响版本 Sh...
shiro反序列化漏洞解决方案总结
m0_55613022的博客
04-07 1098
shiro反序列化漏洞解决方案总结 1.确定自己使用的shiro版本要高于1.2.4; 2.在代码中全局搜索 “setCipherKey(Base64.decode(” 关键字,或者"setCipherKey"方法,Base64.decode()中的字符串就是shiro的密钥,要确保该密钥的安全性,千万不要使用公开的密钥。 示例2中:xxxx是网上公开的秘钥,可以修改为自己项目专属的秘钥。 ...
Shiro框架漏洞复现(附修复方法)
最新发布
C233333235的博客
08-07 511
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性。在Shiro框架下,用户登陆成功后会生成一个经过加密的Cookie。其Cookie的Key的值为RememberMe,Value的值是经过序列化、AES加密和Base64编码后得到的结果。
shiro反序列化-550&721
黑白的博客
06-29 5204
清楚了shiro的工作流程,工作流程中也说了,是有反序列化操作的,既然有反序列化,就要看我们序列化的内容是否可控,也就是rememberMe字段中的内容是否可控,乍一看肯定是不行的,虽然base64相当于明文,但是AES可不是,AES是有秘钥的,值得回味的是,shiro的默认秘钥是个硬编码写在代码里面了,源码也是默认的,用户也没有更换的话,那么就给了我们构造序列化数据的机会了影响版本。
apache shiro 反序列化漏洞解决方案_apache shiro反序列化解决方法(1)
2401_84159966的博客
04-09 1001
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
shiro反序列化漏洞环境搭建
帅醉了的博客
05-09 2657
kali下shiro反序列化漏洞环境搭建 git clone https://github.com/apache/shiro.git git checkout shiro-root-1.2.4 #进入shiro cd samples/web 安装mvn工具 sudo apt-get install openjdk-8-jdk sudo mkdir -p /usr/local/apache-maven wget http://ftp.wayne.edu/apache/maven/maven-3/3.3.9/
第03篇:Shiro 反序列化漏洞利用汇总1
08-03
本文主要关注Shiro中的两个安全漏洞,一个是RememberMe反序列化漏洞Shiro-550),另一个是Padding Oracle Attack(Shiro-721),以及如何进行自动化漏洞利用。 1. Shiro RememberMe反序列化漏洞Shiro-550) 这...
shiro 内存马_深入利用Shiro反序列化漏洞
weixin_39879674的博客
12-22 2847
0x00:背景​ shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload本身就是加密的,无攻击特征,所以几乎不会被waf检测和拦截。0x01:shiro反序列化的原理先来看看shiro在1.2.4版本反序列化的原理这里是shiro拿到cookie后的关键代码,先de...
Shiro反序列化漏洞详细分析 .pdf
09-05
本文主要探讨了Shiro中的一个严重安全漏洞,即shiro-550反序列化漏洞,以及与其相关的shiro-721 Padding Oracle Attack。这个漏洞可能导致攻击者执行任意代码,对企业的业务风控和信息安全构成威胁。 **shiro-550...
AES工具类及漏铜修复
weixin_42324471的博客
09-27 3875
在使用Sonar扫描代码是发现AES工具类提示如下漏洞 很明显。漏洞存在于红色方框 Cipher cipher = Cipher.getInstance(“Blowfish/ECB/PKCS5Padding”); 查看漏洞详细信息,可以看到漏洞的现象情况,及正确示例 存在漏洞的使用方式 Cipher c0 = Cipher.getInstance("AES"); // Noncompliant: by default ECB mode is chosen Cipher c1 = Cipher.getIn
记一次shiro反序列化漏洞解决方案
qq_34065789的博客
09-02 1007
在网络信息管理部门的一次清查中,系统被测出存在shiro反序列化漏洞,如图一。 当时shiro的版本为1.2.2,按照网上所说的,运行稳定的项目可以通过在配置文件的securityManager中配置rememberMe,并写一个1.2.5及以上版本中解决shiro漏洞的类来修复漏洞,具体代码如下: 配置: <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManage...
shiro反序列化漏洞问题详细版(附带最新通告)
槐序二十四的博客
04-12 2100
首先道个歉,实在手里活太多,直接给各位我附上我的公众号发布的地址吧。 我司因使用shiro网站被查封!(修改版) 然后这是最新通告 Apache Shiro 身份认证绕过漏洞最新通告!再次升级至1.7.1 本人手里的活儿太多了,就犯懒了,没及时在CSDN发布,就先这样吧。抱歉了各位,改天我再发到我的博客中。 ...
shiro反序列化漏洞修复
m0_67390969的博客
08-24 1399
目标IP站点存在Apache shiro 已知密钥泄露导致的远程代码执行漏洞。通过查找项目源码发现,在shiro的配置文件里,确实写死了一个秘钥,在开发环境的中不建议直接写死秘钥,大家要引以为戒!
Shiro反序列化漏洞利用笔记
文公子的博客
12-10 7278
Shiro反序列化漏洞利用笔记 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。目前在Java web应用安全框架中,最热门的产品有Spring Security和Shiro,二者在核心功能上几乎差不多,但Shiro更加轻量级,使用简单、上手更快、学习成本低,所以Shiro的使用量一直高于Spring Security。产品用户量之高,一旦爆发漏洞波及范围相当广泛,研究相关漏洞是很有必要的。 一、Shiro反序列化漏洞 1.1 安全框架 Apache Sh
jsp 登录验证_Spring Boot2(十五):Shiro记住我rememberMe、验证码Kaptcha
weixin_39836536的博客
11-29 293
接着上次学习的《Spring Boot2(十二):手摸手教你搭建Shiro安全框架》,实现了Shiro的认证和授权。今天继续在这个基础上学习Shiro实现功能记住我rememberMe,以及登录时验证码Kaptcha。Remember Me记住我:用户的登录状态会不会因为浏览器的关闭而失效,直到Cookie失效。关闭浏览器后,再次访问登录后的页面可以不用登录。因为用Cookie实现,故只在同一浏览...
Java安全Shiro1.2.4反序列化漏洞(Shiro-550|CVE-2016-4437)复现与浅析
Ho1aAs‘s Blog
06-22 1606
环境修改自上一篇复现越权访问漏洞的笔记修改pom,添加cc4.0来用cc2链子打 ShiroConfig 添加cookie处理的bean UserServiceImpl 开启rememberMe功能Shirobase64加密->返回浏览器rememberMe值 Cookie验证:接受请求rememberMe值->base54解.................................
远程反序列化rce漏洞_Apache shiro反序列化漏洞排查
weixin_33595317的博客
12-16 571
0x01 前言老洞了,最近SRC收了一个Apache Shiro漏洞,然后领导就让我去排查,0x02 情况先说一下情况吧,由于我司没有一个自动化漏洞扫描平台,因此我只能手动去验证某部500+系统,系统情况不明,没有账号密码某部系统使用云上主机,没有权限进入并扫描war包0x03 思考思考一下 问题来了怎么确定系统有用到Apache Shiro?怎么确定该系统的Shiro存在漏洞?上午查看了一下Ap...
shiro反序列化漏洞工具
05-23
Shiro 反序列化漏洞指的是 Apache Shiro 框架在处理用户输入的 Session 数据时没有正确地对反序列化进行限制,导致攻击者可以构造恶意的序列化数据来执行任意代码。攻击者可以利用这个漏洞来获取系统权限、窃取敏感...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值