Shiro框架漏洞

最新推荐文章于 2024-06-29 10:31:12 发布
最新推荐文章于 2024-06-29 10:31:12 发布
阅读量4.1k 收藏 6
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67393413/article/details/123793189
版权

一、Shiro漏洞原理

Apache Shiro框架提供了记住我的功能(RemeberMe),用户登录成功后会生成经过加密并编码的cookie。

cookie的key为RemeberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密,最后在使用base64编码处理形成的

在服务端接收cookie值时,按以下步骤解析:

  1. 检索RemeberMe cookie的值
  2. Base 64解码
  3. 使用ACE解密(加密密钥硬编码)
  4. 进行反序列化操作(未作过滤处理)

在调用反序列化的时候未进行任何过滤,导致可以触发远程代码执行漏洞

用户登陆成功后会生成经过加密并编码的cookie,在服务端接收cookie值后,Base64解码–>AES解密–>反序列化。攻击者只要找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化–>AES加密–>Base64编码,然后将其作为cookie的rememberMe字段发送,Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致反序列化漏洞

二、Shiro序列化利用条件

由于使用了AES加密,要想成功利用漏洞则需要获取AES的加密密钥,而在shiro1.2.4之前版本中使用的是硬编码,AES加密的密钥默认在代码里。其默认密钥的base64编码后的值 kPH+bIxk5D2deZiIxcaaaA== ,这里就可以通过构造恶意的序列化对象进行编码,加密,然后作为cookie加密发送,服务端接收后会解密并触发反序列化漏洞。

目前已经更新了很多版本,官方通过去掉硬编码的密钥,使其每次生成一个密钥来解决该漏洞。但是,目前一些开源系统、教程范例代码都使用固定的编码,也有很多开源项目内部集成了shiro并二次开发,可能会重现低版本shiro的默认固定密钥的风险。用户如果不对密钥进行修改,即使升级shiro版本,也依旧存在固定密钥的风险。这里可以通过搜索引擎和github来收集密钥,提高漏洞检测和利用的成功率。

三、Shiro框架识别

请求包的cookie中存在rememberMe字段。
返回包中存在set-Cookie:remeberMe=deleteMe。
请求包中存在rememberMe=x时,响应包中存在rememberMe=deleteMe。(有时候服务器不会主动返回remeberMe=deleteMe,直接发包即可,将Cookie内容改为remember Me=1,若相应包有rememberMe=deleteMe,则基本可以确定网站是apache shiro搭建的。)
URL中有shiro字样

四、Shiro漏洞汇总

CVE-2020-17523
CVE-2020-17510
CVE-2020-13933
CVE-2020-11989#Apache Shiro身份验证绕过漏洞
CVE-2016-6802#Shiro Padding Oracle Attack
CVE-2016-4437#Shiro rememberMe反序列化漏洞

开源的burp shiro检测插件:
https://github.com/pmiaowu/BurpShiroPassiveScan
https://github.com/potats0/shiroPoc
shiro漏洞利用工具:
https://github.com/j1anFen/shiro_attack
https://github.com/fupinglee/ShiroScan

m0_67393413
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro反序列化漏洞利用笔记
文公子的博客
12-11 642
Shiro反序列化漏洞利用笔记 Apache Shiro是一个强大且易用的Java安全框架执行身份验证、授权、密码和会话管理。目前在Java web应用安全框架中,最热门的产品有Spring Security和Shiro,二者在核心功能上几乎差不多,但Shiro更加轻量级,使用简单、上手更快、学习成本低,所以Shiro的使用量一直高于Spring Security。产品用户量之高,一旦爆发漏洞波及范围相当广泛,研究相关漏洞是很有必要的。 一、Shiro反序列化漏洞 1.1 安全框架 Apache S
shiro漏洞
weixin_43873557的博客
02-06 3475
Shiro概述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性。 ➢ Shiro历史漏洞Shiro- - 550) Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。 ➢ Shiro历史漏洞Shiro-
Apache shiro 远程命令执行漏洞复现
Delphinidae
12-05 2719
漏洞原因】 rememberme参数存在反序列化漏洞,remember的内容通过AES加密,加密的key被硬编码在代码中了,已经泄露的key,加密的向量vi通过代码也能查到(某字段的前16字节),通过构造cookie中的remember内容可以执行任意命令 【shiro介绍】 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 【shiro指纹
漏洞分析】远程命令执行漏洞总结
顶峰
12-21 386
fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。fastjson.jar是阿里开发的一款专门用于Java开发的包,可以方便的实现json对象与JavaBean对象的转换,实现JavaBean对象与json字符串的转换,实现json对象与json字符串的转换。除了这个fastjson以外,还有Google开发的Gson包,其他形式的如net.sf.json包,都可以实现json的转换。方法名称不同而已,最后的实现结果都是一样的。
shiro反序列化漏洞总结
最新发布
2302_80462925的博客
06-29 1553
shiro反序列化漏洞总结
shiro反序列化[cve_2016_4437]
紫洋的博客
05-09 842
Apache Shiro 1.2.4 及以前版本中,加密的用户信息序列化后存储在名为 remember-me 的 Cookie 中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令
web中间件漏洞--shiro漏洞
qq_42404383的博客
12-14 1678
一、初步认识shiro来源 是什么: Apache Shiro是一个Java安全框架执行身份验证、授权、密码和会话管理。 背景: 2016年,网络中曝光1.2.4以前的版本存在反序列化漏洞。尽管该漏洞已经曝光几年,但是在实战中仍然比较实用。 二、如何利用shiro漏洞 漏洞原理: Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie。cookie的key为RememberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密
Apache Shiro Padding Oracle漏洞可导致远程命令执行漏洞解决
♾️
02-19 4060
背景:Apach Shiro官方披露其cookie持久化参数rememberMe加密算法存在漏洞,可被Padding Oracle攻击,攻击者利用Padding Oracle攻击手段可构造恶意的rememberMe值,绕过加密算法验证,执行java反序列化操作,最终可导致远程命令执行获取服务器权限,风险极大。 1,漏洞描述: Apache Shiro < 1.4.2 版本中cookie值re...
shiro框架
GuiFuShenGong123的博客
04-15 442
权限管理* 为什么需要权限管理 1、安全性:误操作、人为破坏、数据泄露等,比如对数据库的操作,普通的开发人员对数据的操作只有查询等操作,而DBA可以对数据库进行最高权限的操作。 2、数据隔离:不同权限能看到及操作不同的数据,比如对应部门的领导只能看到该部门下的员工数据。 3、明确职责:运营和客服等不同角色,Leader和dev等不同级别。比如去哪网等这些网上商城,客服可以看到所有的订...
Shiro反序列化漏洞检测工具
01-05
Shiro框架中,这个漏洞主要存在于其会话管理组件,特别是当使用默认的`DefaultSessionManager`和`DefaultSessionDAO`时,它们可能受到反序列化攻击的影响。 `ShiroExploit-Deprecated-2.51.zip`和`ShiroExploit.V...
Shiro框架政和
07-18
"Shiro框架政和"可能是某个项目或教程,旨在帮助开发者更好地理解和集成Shiro与Spring框架。下面将详细讨论Shiro与Spring的整合以及相关知识点。 1. **Shiro基础概念**: - **身份验证(Authentication)**:确认...
shiro1.7.1全包修补漏洞.rar
07-18
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密服务。这个"shiro1.7.1全包修补漏洞.rar"文件包含了针对Apache Shiro 1.7.1版本的一些安全修复和更新,旨在解决可能存在的...
shiro反序列化漏洞检测工具,含链接教程
08-17
Shiro框架中,当不安全地处理来自不可信源的反序列化数据时,就可能导致这种漏洞。例如,如果一个应用程序允许用户提交包含序列化对象的数据,而这些对象在Shiro的内部逻辑中被反序列化,那么攻击者可能构造恶意的...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权、加密以及会话管理功能,简化了应用安全的实现。在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:...
shiro漏洞复现
weixin_53747497的博客
03-22 1211
Apache Shiro一种功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理, 可用于保护任何应用程序的安全。近年来护网中较多的漏洞Shiro提供了应用程序安全性API来执行以下方面:1)身份验证:证明用户身份,通常称为用户"登录";2)授权:访问控制;3)密码术:保护或隐藏数据以防窥视;4)会话管理:每个用户的时间敏感状态。上述四个方面也被称为应用程序安全性的四个基石。
shiro 字段简单应用介绍
bug_yun的博客
05-04 128
    Realm: 认证:Principals(当事人、身份)、Credentials(证书、凭证)、realmName 用户赋角色: 用户:角色 user:role1,role2;   授权:roles、Permissions 角色赋权限; 角色:域:操作:实例对象 role1:permissions:print:myPermissions   Session 管理...
Shiro--注解
qq_58148854的博客
09-04 145
访问此接口所需的权限
Springbooot集成Shiro简单使用
我真的很不错的博客
09-24 320
文章目录1.Shiro架构2.Shiro环境搭建3.Shiro用户登录拦截与认证 1.Shiro架构 Shiro三个主要的概念: Subject SecurityManager Realms Shiro外部架构 Subject:主体,当前参与应用安全部分的主体。可以是用户,可以是第三方服务,可以是cron 任务,或者任何东西。主要指一个正在与当前软件交互的东西。所有Subject都需要SecurityManager,当与Subject进行交互,这些交互行为实际上被转换为与SecurityManage
Apache Shiro 默认密钥致命令执行漏洞(反序列化攻击)
weixin_42845320的博客
06-24 2884
一、漏洞说明 最近阿里云发了漏洞短信,需要在已有的老项目中修复shiro远程命令执行漏洞,并修复了2套Java项目,不同项目修复方式有所不同,特写此篇博客,以作备忘,欢迎大家留言讨论。 1.1 漏洞描述 漏洞名称: 远程命令执行,利用漏洞能够获取系统权限,查看、篡改系统数据,构成信息泄露和运行安全风险 1.2 处置措施建议 针对远程命令执行漏洞,升级Shiro至最新版本,并且重新生成一个新的秘钥替换ciperKey,保证唯一且不要泄密; 二、漏洞修复过程 2.1 修改前事项 shiro需要升级到1.7.1
shiro框架漏洞实战网站
05-05
如果您想学习 Shiro 框架漏洞实战,可以尝试以下网站: 1. Shiro-721:https://github.com/wh1t3p1g/Shiro721 2. Shiro550:https://github.com/codeplutos/Shiro550 3. Shiro550-Realm:https://github.com/codeplutos/Shiro550-Realm 4. Shiro550-RememberMe:https://github.com/codeplutos/Shiro550-RememberMe 这些网站都提供了实际的漏洞环境,您可以通过攻击这些漏洞来学习 Shiro 框架的安全性和防御措施。但请注意,这些网站仅供学习和研究目的,不得用于非法用途。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值