shiro反序列化漏洞简述

最新推荐文章于 2024-05-22 15:22:21 发布
最新推荐文章于 2024-05-22 15:22:21 发布
阅读量525 收藏
点赞数
分类专栏: java 文章标签: java 开发语言 网络 spring boot 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67392126/article/details/126496286
版权

在一些面试以及攻防对抗中,总会碰到shiro反序列化的命令执行,于是给大家简单的科普一下。

Apache Shiro是一款开源企业常见JAVA安全框架,此框架提供了RememberMe的功能,这是很多网站都具备的,例如你登录了一个网站,关掉浏览器再次打开网站时,网站会保留你的登录信息情况。

首先,shiro处理cookie的流程是先得到rememberMe的cookie值,然后Base64解码,AES加密,最后反序列化。但是AES的密钥是硬编码的,攻击者可以通过构造payload造成反序列化的命令执行。

硬编码:硬编码是将数据直接嵌入到程序或其他可执行对象的源代码中的软件开发实践,与从外部获取数据或在运行时生成数据不同。 硬编码数据通常只能通过编辑源代码和重新编译可执行文件来修改,尽管可以使用调试器或十六进制编辑器在内存或磁盘上进行更改。

shiro反序列化的影响范围是1.2.4及以下版本,同时特征十分明显,使用burp抓包后响应包中会有一条set-cookie

Set-Cookie:rememberMe=deleteMe;

看到这行语句后直接扔到ShiroScan里跑一下

下载地址:https://github.com/sv3nbeast/ShiroScan

结合dnslog.cn即可确定是否存在shiro反序列化漏洞

漏洞修复建议:此处参考https://blog.csdn.net/weixin_44578334/article/details/105821240

先说结论:无论是否升级shiro到1.2.5及以上,如果shiro的rememberMe功能的AES密钥一旦泄露,就会导致反序列化漏洞。
升级shiro到1.2.5及以上如果在配置里配置了密钥,那么请一定不要使用网上的密钥,一定不要!!请自己base64一个AES的密钥,或者利用官方提供的方法生成
总结
标准的AES的加解密只跟私钥key和加密模式有关,和IV无关。
为了证明反序列化漏洞确实存在,可以利用ysoserial的URLDNS gadget进行验证,但是默认会有TTL缓存机制,默认10s。
反序列化导致的命令执行需要两个点:
readObject()反序列化的内容可控。
应用引用的jar包中存在可命令执行的Gadget Chain。

m0_67392126
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro1.2.4反序列化漏洞检测与复现
qq_45396375的博客
12-20 1390
用户勾选RememberMe登录后,shiro框架将用户信息进行序列化,序列化的内容进行AES加密,再使用base64编码,最后给用户返回一个rememberMe的cookie。 而AES加密采用了一个固定的key kPH+bIxk5D2deZiIxcaaaA==,因此攻击者可以构造恶意的代码,将恶意代码进行序列化,再通过固定key对恶意代码进行AES加密,再base64编码 攻击者将这段恶意数据替换为正常的cookie值,这段cookie值发到后台后,shiro框架会将这段加密数据进行base64解码,
Shiro反序列化漏洞【详细解析】
weixin_47536169的博客
09-01 1万+
Shiro是什么东西 ShiroJava 的一个安全框架,执行身份验证、授权、密码、会话管理 shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。 原理解释https://www.freebu...
shiro反序列化漏洞原理
最新发布
m0_73649671的博客
05-22 315
shiro反序列化漏洞原理
Shiro反序列化漏洞
热门推荐
Kevin's Blog
06-01 1万+
文章目录一、漏洞介绍1.1 简介1.2 漏洞原理1.3 漏洞特征1.4 漏洞影响二、环境配置三、漏洞利用3.1 利用方法(一) 一、漏洞介绍 1.1 简介   Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。java中的权限框架有SpringSecurity和Shiro,由于Spring功能强大但复杂,Shiro的简单强大,扩展性好因此用的还是很多。 1.2 漏洞原理   Apache Shiro框架提供了记住我的功能(RememberMe),用户登录成功后会生成经过加密并
漏洞复现】Shiro 反序列化漏洞
2301_80115097的博客
11-08 2132
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。该款工具特别适合初学者,配置了各种OA漏洞利用板块,还有shiro、struts2等框架漏洞漏洞利用板块,还有一键执行命令的功能!!
shiro反序列化漏洞分析
qq_35976649的博客
03-30 1322
准备: 在github下载shiro-root-1.2.4源码. 在IDEA中打开项目,进行如下配置: 添加 samples-web:war exploded即可 可以看见已经搭建成功了,我们通过burp抓包可以看到shiro反序列化的特征 加密分析 HTTP/1.1 302 Set-Cookie: rememberMe=deleteMe; Path=/samples; Max-Age=0; Expires=Tue, 29-Mar-2022 08:48:15 GMT Set-Cookie: re
shiro反序列化漏洞
wo41ge的博客
12-29 504
今天 把之前 落下来的 捡起来 师傅轻捶 好 要上了哦!! 漏洞发现 1.Shiro rememberMe反序列化漏洞Shiro-550) 0x01漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。 在服务端对rememberMe的cookie值 的流程是这样的 RememberMe Cookie值->base64解密->AES解密->反序列化 这就导致了反序列化RCE漏洞 我们 构造的payloa
Shiro反序列化漏洞检测工具
01-05
Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的反序列化漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统进行非法操作。 反序列化漏洞通常出现在应用程序接收到...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe CookieShiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果...
shiro反序列化漏洞检测工具,含链接教程
08-17
使用方法如描述所示,通过命令行输入`java -jar shiro_tool.jar`后跟目标服务器的URL,工具会尝试识别并测试该服务器是否存在Shiro反序列化漏洞。`readme.txt`可能是提供关于如何使用该工具以及漏洞原理的详细说明。...
Shiro反序列化漏洞(Shiro-550、Shiro-721)
做自己喜欢的事,并将其发挥到极致!
12-21 6844
0x01 Shiro介绍 Apache Shiro 是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,Shiro框架直观、易用、同时也能提供健壮的安全性。 Apache Shiro反序列化漏洞分为两种:Shiro-550、Shiro-721 0x02 Shiro-550 反序列化漏洞 CVE-2016-4437 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的Cookie,在服务端对rememberMe的Cook
shiro反序列化漏洞(CVE-2016-4437)漏洞复现
HEAVEN569的博客
06-21 4172
本文对shiro反序列化漏洞(CVE-2016-4437),进行了分析复现,介绍了利用工具和常规修复方法
shiro-反序列化漏洞
weixin_54217950的博客
07-26 6409
shiro反序列化漏洞
shiro反序列化漏洞工具
05-23
Shiro 反序列化漏洞指的是 Apache Shiro 框架在处理用户输入的 Session 数据时没有正确地对反序列化进行限制,导致攻击者可以构造恶意的序列化数据来执行任意代码。攻击者可以利用这个漏洞来获取系统权限、窃取敏感信息等。 针对 Shiro 反序列化漏洞,已经有一些工具可以用于检测和利用该漏洞,例如: 1. ShiroExploit:Shiro 反序列化漏洞利用工具,可用于远程执行命令、反弹 shell 等。 2. ShiroScan:Shiro 反序列化漏洞扫描工具,可以扫描目标主机是否存在 Shiro 反序列化漏洞,并输出扫描结果。 3. Shiro-550-Payloads:Shiro 反序列化漏洞 Payload,包含多种恶意代码,可供测试和漏洞利用使用。 需要注意的是,使用这些工具需要遵守法律法规,仅限于进行合法授权的安全测试和研究。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值