shiro流量分析

最新推荐文章于 2024-09-18 17:23:09 发布
最新推荐文章于 2024-09-18 17:23:09 发布
阅读量1k 收藏 17
点赞数 15
文章标签: 网络安全 学习方法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64777251/article/details/137515218
版权

shiro流量分析

基于CVE-2016-4437

原理:

Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie。cookie的key为RememberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密,最后在使用base64编码处理形成的。

Shiro记住用户会话功能的逻辑

获取RememberMe的值 —> Base64解密 —> ASE解密 –> 反序列化 在服务端接收cookie值时,按照如下步骤来解析处理:1、检索RememberMe cookie 的值 2、Base 64解码 3、使用AES解密(加密密钥硬编码) 4、进行反序列化操作(未作过滤处理) 在调用反序列化时未进行任何过滤,导致可以触发远程代码执行漏洞。

环境

image-20240319204121406

image-20240319204055033

手工登录查看流量特征

image-20240319205754324

登录失败

返回包就会返回Set-Cookie:remember=deleteMe

image-20240319205739059

登录成功

image-20240319205816743

登录成功,就会出现 set-Cookie:remember=一长串值

下面还有会登录成功提示

工具爆破shiro的流量特征

检测是否为shiro框架的流量

工具的第一步肯定是去判断该网站是否使用了shiro框架

image-20240319205959773

image-20240319210021797

先设置代理不然burp抓不到包

image-20240319210135785

image-20240319210158690

检测时 工具设置了一个remember=1

网站返回 Set-Cookie: remember=deleteMe证明网站存在shiro框架。

image-20240319210242910

image-20240319210616328

爆破秘钥成功流量

再设置一个通过秘钥进行加密的序列化字符串,然后通过返回包来判断是不是爆破成功,如果返回包没有返回Set-Cookie: rememberMe=deleteMe,那就是爆破成功。

image-20240319210812128

image-20240319210910682

爆破成功

image-20240319211053118

当我在remember这多加几个2222使它错误

那返回包就会重新出现rememberme=deleteme

利用链爆破流量

在秘钥正确的情况下,进行利用链爆破,就会出现,cookie非常长的情况。如果在研判中发现cookie非常长,并且返回包状态码为200,那就要考虑网站是否被入侵

image-20240319211238495

image-20240319211253922

执行命令的流量

执行命令时候的流量特征就是,rememberme 非常长,并且返回值是加密的,但是开头和结尾都带三个$

image-20240319211958874

执行whoami

image-20240319212138253

image-20240319212144836

image-20240319212312262

执行ls

image-20240319212338984

注入内存马时候的流量

进行注入内存马,然后抓包查看流量的特征。

image-20240319212602533

image-20240319212624881

image-20240319212640891

可以看到,注入内存马的时候,cookie值非常长,并且数据包体pass参数非常长,也都是加密的数值。

如何防御shiro漏洞

  1. 升级shiro版本
  2. 限制cookie长度
    712566071970)]

可以看到,注入内存马的时候,cookie值非常长,并且数据包体pass参数非常长,也都是加密的数值。

如何防御shiro漏洞

  1. 升级shiro版本
  2. 限制cookie长度
  3. 不要使用硬编码的key
m0_64777251
关注
解密工具 —— shiro加密数据
不忘初心,护天下安全!
09-18 1020
实现本地利用112个默认key对shirorememberme数据进行解密,本工具用于蓝队同学对攻击进行研判。
Apache Shiro反序列化攻击技术剖析与防护研判分析
不忘初心,护天下安全!
08-11 1394
攻击者确可利用漏洞制造具有威胁的请求内容,防守者亦可利用默认的密钥和Gadget进行解密尝试,且一定可以解密成功,直接分析编码前的内容是否是渗透所用payload;攻击者使用Fuzzing测试的思路,直接制造无效的危险请求内容,防守者亦可利用默认的密钥和Gadget进行解密尝试,且一定可以解密成功,直接分析编码前的内容是否是渗透所用payload。尽管rememberMe字段参数值是一串AES加密后的结果,但因为攻击者利用的漏洞原理是“公开的算法+默认的密钥”,则以其之道还施彼身即可。...
Apache Shiro流量特征及漏洞利用
qq_53218512的博客
06-02 1468
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权和会话管理等功能。Shiro框架直观、易用,同时也能提供更健壮的安全性。
网络安全】常见Webshell&重大漏洞的流量特征
最新发布
程序员若风的博客
09-18 1241
攻防演练中,经常会看到一些加密的流量,又分不清楚是不是误报,本文总结了一些常见的流量特征
流量分析shiro、behinder
黑战士的博客
04-20 561
shiro流量解密shiro的cookie值会很长,一般分析会直接筛查Lenght长度文件(E) 编辑(E) 视图(L) 跳转(G)带助(H)工具W统计(S)电话()无线(W)分析(A)捕获©QQQU星1100110INFOFROTOCOLTIXENOHTTP139810.7.7.780.1.1.49HTTP64 GET1397HTTP/1.10.7.7.780.1.1.49HTTP139510.7.7.780.1.1.49HTTP1392。
shiro反序列化及流量分析
qq_58683895的博客
12-09 1240
在 Apache shiro 的框架中,执行身份验证时提供了一个记住密码的功能(RememberMe),如果用户登录时勾选了这个选项。用户的请求数据包中将会在 cookie 字段多出一段数据,这一段数据包含了用户的身份信息,且是经过加密的。加密的过程是:用户信息=>序列化=>AES加密(这一步需要用密钥key)=>base64编码=>添加到 RememberMe Cookie 字段。勾选记住密码之后,下次登录时,服务端会根据客户端请求包中的 cookie 值进行身份验证,无需登录即可访问。
shiro漏洞复现及其攻击流量分析
akxnxbshai的博客
04-09 7444
分析一下shiro的攻击流量特征
Shiro介绍及解析
qq_36854073的博客
09-22 844
一、明白什么是认证和授权 从百度百科上理解的,感觉非常通俗易懂 你要登机,你需要出示你的 passport 和源 ticket,passport 是为了证明你张三确实是你百张三,这就是 认证;而机票是为了证明你张三确实买度了票可以上飞机,这就是 授权。 二、shiro的概念 1.什么是shiro 2.shiro的特性 3.shiro的核心组件 三、shiro实战debug解析(token是用户输入的,info是从缓存和数据库中查出来的, 认证主要做token和info中密码..
漏洞的攻击过程,判断漏洞的流量特征
2301_79328240的博客
12-10 1641
可以看出在包中Referer字段中有一些../进行目录穿越还有hosts、etc 等目录关键字查看本地的文件,如果进行上传图片木马的话文件包含漏洞会造成图片马的执行。在数据包中有一些命令执行的关键字,比如说dir,whoami ,ipconfig等,还有一些被url编码的&字符等,从这可以看出这基本上就是命令注入的攻击。文件读取和文件包含类似不过文件包含可以读取并执行,文件读取只能单纯的读取,在数据包中可以看出GET传参后面有一些windows的目录名称等关键字。页面也返回了读取的hosts文件的信息。
Shiro反序列化流量分析.pdf
05-10
Shiro反序列化漏洞...综上所述,Shiro反序列化漏洞涉及了加密技术、网络流量分析、漏洞检测和利用工具等多个方面,对于网络安全防护和漏洞挖掘具有重要意义。了解这些知识点有助于提高系统安全性和防范潜在的攻击。
网络安全运维流量攻击分析需要掌握的核心能力有什么
liuruo11000的博客
11-11 1189
只有更好的了解攻击,才能更好的防御,了解攻击流量特征,可以在运维工作过程中能更好的研判攻击行为,并对行为做出处理。3、Webshell工具攻击流量分析及防御。3、Apache Shiro漏洞流量分析。3、掌握基于文件上传漏洞攻击的流量特征。1、各种Sql注入攻击流量分析及防御。2、FastJson 漏洞流量分析。1、掌握sql注入攻击的流量特征。7、掌握国内打点常见漏洞流量特征。6、SSRF攻击流量分析及防御。7、目录穿越攻击流量分析及防御。4、掌握反序列化攻击的流量特征。5、掌握目录穿越攻击的流量特征
Shiro反序列化漏洞:AES加密与流量分析防范策略
二、Shiro反序列化攻击流量分析 这部分详细介绍了如何分析服务器接收到的流量,识别出含有恶意Payload的请求,并通过上述加密参数进行解密。通过监控和分析这些流量,可以揭示潜在的攻击企图,并采取防御措施。 三...
【Java反序列化】Shiro-550漏洞分析笔记
网络安全从业者的学习笔记
01-29 2210
ShiroAES加密-->Base64加密的过程,接收后会进行Base64解密-->AES解密-->反序列化进行验证身份信息。漏洞点在于AES加密为对称加密,而加密时利用的key为固定值,这就导致,我们可以生成一条恶意的payload,进而达到RCE的目的。
让Apache Shiro保护你的应用[转]
weixin_33895475的博客
05-27 302
为什么80%的码农都做不了架构师?>>> ...
Shiro反序列化的检测与利用
Fuzz
02-25 4367
1. 前言 Shiro 是 Apache 旗下的一个用于权限管理的开源框架,提供开箱即用的身份验证、授权、密码套件和会话管理等功能。 2. 环境搭建 环境搭建vulhub 3. 如何发现 第一种情况 返回包中包含rememberMe=deleteMe这个字段 第二种情况 直接发送原数据包,返回的数据中不存在关键字 可以通过在发送数据包的cookie中增加字段: rememberMe=deleteMe 然后查看返回数据包中是否存在关键字。 4. 自动检测Shiro反序列化之burp插件 https://g
第26篇:蓝队分析辅助工具箱V0.3发布,含shiro解密|cas解密|log4j2解密|冰蝎哥斯拉解密|端口连接分析等功能...
ABC_123的博客
10-13 1289
Part1 前言最近几年各种攻防演习比赛越来越多,网络攻击事件越来越频繁,各种加密变形的漏洞利用payload的出现,让蓝队分析难度也越来越高。在最近几年参加的几次蓝队分析工作中,我陆续写了各种各样的小工具,于是就把这些小工具集合起来,形成了这么一个“蓝队分析辅助工具箱”分享给大家使用,重点解决蓝队分析工作中的一些痛点,比如说让大家头疼的加密数据包解密问题,netstat -an无ip对应的国...
应急响应全栈
qq_29437513的博客
07-25 2661
应急响应全栈
笔记:常见中间件漏洞
02-16 2496
笔记:常见中间件漏洞
第9篇:Shiro反序列化数据包解密及蓝队分析工具,提供下载
ABC_123的博客
05-04 2210
Part1 前言这个小工具的编写源于一个HW蓝队项目,我曾经作为蓝队人员值守了2周,期间发现很多蓝队人员对于反序列化系列漏洞原理不清楚,导致对设备告警的各种反序列化攻击不能有效地研判,也就是说不能底气十足地告诉客户,这个告警是设备误报、是扫描行为、是攻击行为、还是Web应用的用户正常行为。于是在这个项目中,我就慢慢变成了一个攻击流量研判的角色了,帮助客户对这些设备的告.........
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值