Apache Shiro Java反序列化漏洞记录

最新推荐文章于 2024-02-29 09:00:00 发布
最新推荐文章于 2024-02-29 09:00:00 发布
阅读量315 收藏 1
点赞数
分类专栏: shiro漏洞 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mazuyu408/article/details/115583398
版权

最近工作上刚好碰到了这个漏洞,当时的漏洞扫描出来后一直升级shiro也没效果,最后才发现是,shiro的rememberMe功能的AES密钥一旦泄露,就会导致反序列化漏洞。

而无论是否升级shiro到最新版本还是什么,ShiroConfig类里面的rememberMe管理器如果没有做修改大部分都是一样的代码,所以很容易就会被攻击到。

  /**
     * rememberMe管理器, cipherKey生成见{@code Base64Test.java}
     */
    @Bean
    public CookieRememberMeManager rememberMeManager(SimpleCookie rememberMeCookie) {
        CookieRememberMeManager manager = new CookieRememberMeManager();
        manager.setCipherKey(Base64.decode("Z3VucwAAAAAAAAAAAAAAAA=="));
        manager.setCookie(rememberMeCookie);
        return manager;
    }

最后自己将key设置成动态的,避免了过于简单而被攻击。


    /**
     * rememberMe管理器, cipherKey生成见{@code Base64Test.java}
     */
    @Bean
    public CookieRememberMeManager rememberMeManager(SimpleCookie rememberMeCookie) {
        CookieRememberMeManager manager = new CookieRememberMeManager();
        String md5 = getMD5Str(System.currentTimeMillis()+"");
        manager.setCipherKey(Base64.decode(md5));
        manager.setCookie(rememberMeCookie);
        return manager;
    }
    public static String getMD5Str(String strValue) {
        String newStr ="";
        try {
            MessageDigest md5 = MessageDigest.getInstance("MD5");
            newStr = Base64.encodeToString(md5.digest(strValue.getBytes()));
        } catch (Exception e) {
            return "LzAsTQiJccTVaXNM4DeJqs==";
        }
        return newStr;
    }

 

猪思马记
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA代码审计之Shiro反序列化漏洞分析
2301_78399550的博客
04-29 735
大型分布式系统犹如一个生命,系统中各个服务犹如骨骼,其中的数据犹如血液,而Kafka犹如经络,串联整个系统。这份Kafka源码笔记通过大量的设计图展示、代码分析、示例分享,把Kafka的实现脉络展示在读者面前,帮助读者更好地研读Kafka代码。麻烦帮忙转发一下这篇文章+关注我大型分布式系统犹如一个生命,系统中各个服务犹如骨骼,其中的数据犹如血液,而Kafka犹如经络,串联整个系统。
Shiro_exploit:Apache Shiro Java反序列化漏洞的分析和利用
03-10
Apache Shiro Java反序列化进攻分析及利用 0x00项目地址 0x01概述 两者天被派去去护网&重保,态势感知报告了一条冰蝎的远程代码执行的纠正,在通过日志以及webshel​​l及相关信息,红队大概是通过shiro反序列化拿到主机权限,之前一大佬还特别分享过shiro反序列化断裂,还没来及研究就碰上了,。正好这个机会研究分析一波, 四郎用remembreme这个cookie的对用户进行鉴权,防止出现越权问题,它使用CookieRemembreMeManager这个类,对remebremecookie的键使用ObjectInputStream类进行序列化,然后对字符流进行用AES加密方式对其进行的base64编码,然后返回客户端remebremeCookie ,这其实是有问题的,shiro把其实aes的密钥硬编码在代码里的类,我们可以通过ysoserial这个的Common
反序列化漏洞_Apache Shiro Java反序列化漏洞
weixin_39552768的博客
12-14 225
一、漏洞介绍Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Shiro提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。Shiro对rememberme的cookie做...
Apache Shiro Java 反序列化漏洞分析
Townmacro的博客
04-06 3940
Apache Shiro Java 反序列化漏洞分析
Apache Shiro反序列化漏洞
最新发布
qq_63980959的博客
02-29 1043
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性。​ 首先说一下何为序列化,序列化就是指把Java对象转换为字节序列的过程,shiro框架为java框架同时使用了序列化。shiro框架的整体流程为:用户登录成功时会生成一段由序列化–>aes加密—>base64编码构成的cookie值。
Apache Shiro Java反序列化漏洞(CVE-2016-4437)
qq_45300786的博客
12-25 693
我只是个无情的挂马机器,原理相信百度一大把,我就不赘述了 0x00 环境要求 靶机:192.168.100.23 攻击机:192.168.100.34 0x01 环境搭建 这里使用docker进行环境搭建: 下载 git clone https://github.com/Medicean/VulApps/tree/master/s/shiro/1 1.拉取环境到本地 $ docker pull medicean/vulapps:s_shiro_1 2.启动环境 $ docker run -d -p 8080
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
然而,在Apache Shiro 1.2.4及其更早的版本中,存在一个严重的反序列化漏洞。这个漏洞主要与RememberMe服务的实现有关。在处理RememberMe的Cookie时,Shiro的`CookieRememberMeManager`类会执行一系列操作:首先,它...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Shiro反序列化漏洞检测工具
01-05
1. **升级Shiro版本**:确保Shiro框架的版本高于1.2.4,因为从1.2.5开始,Apache Shiro已经修复了这个反序列化漏洞。 2. **禁用不必要的序列化**:避免在不受信任的输入上进行反序列化,尤其是在处理网络数据时。 3....
shiro反序列化漏洞检测工具,含链接教程
08-17
该压缩包文件包含的`shiro_tool.jar`很可能是一个专门用于检测Apache Shiro反序列化漏洞的工具。使用方法如描述所示,通过命令行输入`java -jar shiro_tool.jar`后跟目标服务器的URL,工具会尝试识别并测试该服务器...
Apache Shiro Java反序列化漏洞分析
2301_77512689的博客
04-25 424
最终利用ysoserial的CommonsBeanutils1命令执行。虽然在ysoserial里CommonsBeanutils1类的版本为1.9.2,不过上面环境测试确实可以命令执行。这里当时有一个问题是:如何获取Java里引用组件的版本?大多数的时候,我们只要解析pom.xml就能解析出相应组件的版本。但有的情况下,并不能获取组件的版本。比如有的pom.xml并没有设置组件的version版本,没有设置version的情况,是由依赖决定。项目中依赖了A,A依赖了B,B的版本由A决定;
java反序列化漏洞 https服务_25. Apache Shiro Java反序列化漏洞
weixin_39619481的博客
02-25 152
前言:最近在审核漏洞的时候,发现尽管Apache shiro这个反序列化漏洞爆出来好久了,但是由于漏洞特征不明显,并且shiro这个组件之前很少听说,导致大厂很多服务还存在shiro反序列化漏洞,这里对漏洞进行简单分析与复现。一.漏洞前析0x01 什么是Apache ShiroApache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理...
java 漏洞复现_Apache Shiro java反序列化漏洞复现
weixin_42526484的博客
03-02 172
Apache Shiro java反序列化漏洞复现 影响版本Apache Shiro <= 1.2.4环境搭建准备环境攻击机: Windows或者Linux (我用的是windows10 1903)、ysoserial-0.0.6-SNAPSHOT-all.jar、python环境、Java环境**靶机:**带docker的Linux就行靶机环境搭建获取docker镜像docker pull...
shrio反序列漏洞修复_Apache Shiro Java 反序列化漏洞分析
weixin_36003864的博客
01-17 673
Author: rungobier(知道创宇404安全实验室)Date: 2016-08-030x00 概述Apache ShiroJava 的权限及安全验证框架中占用重要的一席之地,在它编号为550的 issue 中爆出严重的 Java 反序列化漏洞。下面,我们将模拟还原此漏洞的场景以及分析过程。0x01 漏洞场景还原首先,需要获取 Apache Shiro 存在漏洞的源代码,具体操作如下...
Apache Shiro Java反序列化漏洞复现-踩坑记录
飞鱼的企鹅的博客
09-29 9665
简介 这个漏洞属于java反序列化漏洞的一种,shirojava的一个开发框架,能够快速的搭建好应用程序的环境。 影响版本 Apache Shiro <= 1.2.4 环境搭建 制作war包 首先,需要获取 Apache Shiro 存在漏洞的源代码,具体操作如下: git clone https://github.com/apache/shiro.git cd /shiro git ch...
Apache Shiro 组件反序列化漏洞分析
why811的博客
10-18 1030
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。为了让浏览器或服务器重启后用户不丢失登录状态,Shiro支持将持久化信息序列化并加密后保存在Cookie的rememberMe字段中,下次读取时进行解密再反序列化
[CVE-2016-4437] Apache Shiro 安全框架反序列化漏洞复现与原理详细分析
Specif1c的博客
10-21 4959
Apache Shiro是一个强大且易用的 Java安全框架,执行身份验证、授权、密码和会话管理。shiro 相比于 springsecurity 简单许多,官方号称 10 分钟就能学会。shiro 反序列化漏洞Java 经典漏洞,于2016年被挖掘出来,到现在依旧很多系统存在该漏洞,非常值得学习,对加深 shiro 认证机制的理解以及java代码审计颇有帮助。
Apache Shiro 反序列化漏洞分析与调试
在环境搭建方面,参考了两篇文章来了解Shiro反序列化的历史记录和具体的漏洞细节。为了进行远程调试,需要对Tomcat服务器进行设置。可以通过创建名为`debug.bat`的文件,设置JPDA_ADDRESS和JPDA_TRANSPORT环境变量,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值