Apache Shiro-550反序列化分析

最新推荐文章于 2025-03-11 21:21:23 发布
原创 最新推荐文章于 2025-03-11 21:21:23 发布 · 500 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #安全

Ha1ey@深蓝攻防实验室

前言

  • JDK-1.6

  • https://support.apple.com/kb/DL1572?locale=zh_CN

    官方下载地址

  • JDK 1.8.0_261

  • IDEA 2021.3.2

  • Tomcat 8.5.75

  • Shiro1.2.4

  • https://github.com/apache/shiro/tree/shiro-root-1.2.4

    Github下载

下载完后打开pom.xml,修改jstl版本增加<version>1.2version>

编译时必须要用JDK1.6(本测试环境是Mac,其他环境有其他解决办法)

图片

环境

如果mac已安装高版本的JDK则会提示无法安装,别慌下面教你解决方法

  • 首先找到Mac的脚本编辑器

图片

  • 将以下代码复制到“脚本编辑器”应用中,注意换行一定不要错

set theDMG to choose file with prompt "Please select javaforosx.dmg:" of type {"dmg"}
do shell script "hdiutil mount " & quoted form of POSIX path of theDMG
do shell script "pkgutil --expand /Volumes/Java\\ for\\ macOS\\ 2017-001/JavaForOSX.pkg ~/tmp"
do shell script "hdiutil unmount /Volumes/Java\\ for\\ macOS\\ 2017-001/"
do shell script "sed -i '' 's/return false/return true/g' ~/tmp/Distribution"
do shell script "pkgutil --flatten ~/tmp ~/Desktop/Java.pkg"
do shell script "rm -rf ~/tmp"
display dialog "Modified Java.pkg saved on desktop" buttons {"Ok"}

  • 点击“脚本编辑器”右上角三角符号

图片

  • 点击完成可以生成一个窗口,在此窗口下选择你的JDK1.6的dmg包,在桌面会生成一个新的安装包,下一步安装即可。

图片

  • 编译pom.xml,修改toolchains.xml,添加path

  <toolchain>    <type>jdk</type>    <provides>      <version>1.6</version>      <vendor>sun</vendor>    </provides>    <configuration>      <jdkHome>/Library/Java/JavaVirtualMachines/1.6.0.jdk</jdkHome>    </configuration>  </toolchain>  <toolchain>    <type>jdk</type>    <provides>      <version>1.6</version>      <vendor>sun</vendor>    </provides>    <configuration>      <jdkHome>/Library/Java/JavaVirtualMachines/1.6.0.jdk</jdkHome>    </configuration>  </toolchain>

  • 最后直接install即可,启动TomcatServer,导入war包

图片

图片

  • 最后启动服务即可

图片

图片

分析

  1. 加密

  • 通过官方的说明我们知道cookie主要由CookieRememberMeManager处理

图片

图片

图片

  • 查看到该类的父类是AbstractRememberMeManager,跟进看一下,它在这里把key硬编码

图片

  • 继承了RememberMeManager接口,跟进该接口看一下方法,跟进一下onSuccessfulLogin

图片

  • 这里onSuccessfulLogin做了一个isRememberMe判断是否勾选rememberme

图片

  • 这里判断为true,我们也是勾选了的

图片

图片

  • 条件满足后,进入rememberIdentity,存储了一些session和用户信息

图片

图片

  • 此处将信息转成字节数组,并使用了序列化方法

图片

  • 再跟一下序列化方法,判断传入的对象是否为空,不为空则跳出if,执行序列化流

图片

  • 序列化结束,继续跟一下getCipherService这个是请求aes加密服务

图片

  • 继续跟进加密服务,判断是否为空,这里肯定是不为空的,调用并且传入了序列化对象

图片

  • 进入encrypt方法获取modename为cbc

图片

  • 继续跟进getEncryptionCipherKey这个应该是获取硬编码key的

图片

  • 跟进加密完成赋给新的字节数组,到此加密阶段就完成了

图片

  1. 解密

  • 加密使用了AbstractRememberMeManager的encrypt,同类中找一下解密方法decrypt,追溯一下到convertBytesToPrincipals

图片

  • 继续查找convertBytesToPrincipals

图片

  • 跟踪到getRememberedPrincipals,在此处下一个断点

图片

  • 这里调用了convertBytesToPrincipals方法,继续跟进一下

图片

  • 这里我们强制进入一下解密过程

图片

  • 这里可以看到解密具体的实现

图片

图片

  • 回到刚才这一步

图片

  • 继续往下跟进反序列化的流程readObject

图片

  • 返回到此反序列化过程就结束了

图片

Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
Apache shiro1.2.4反序列化漏洞介绍 Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。
shiro反序列化分析
2301_79724395的博客
06-11 1841
Apache Shiro 是一个 Java 安全框架,包括如下功能和特性:Authentication:身份认证/登陆,验证用户是不是拥有相应的身份。在 Shiro 中,所有的操作都是基于当前正在执行的用户,这里称之为一个 Subject,在用户任意代码位置都可以轻易取到这个Subject。
[Java反序列化]—Shiro反序列化(一)
snowlyzz的博客
12-05 7877
shiro -550 反序列化(一)
Apache-shiro反序列化
haha1314的博客
04-22 1820
使用docker搭建环境 获取docker镜像 docker pull medicean/vulapps:s_shiro_1 重启docker systemctl restart docker 启动docker镜像: docker run -d -p 8081:8080 medicean/vulapps:s_shiro_1 访问: http://localhost:8081/ 环境搭建成功 ...
Apache Shiro 反序列化漏洞全解析(Shiro-550 & Shiro-721)
Aishenyanying33的博客
03-03 3014
Apache Shiro 是一个强大的 Java 安全框架,广泛用于用户认证、授权、加密和会话管理。然而,由于 Shiro 在某些版本中存在反序列化漏洞,攻击者可以通过特定手法实现远程代码执行(RCE),进而获取服务器控制权。 本文将深入剖析 Shiro-550Shiro-721 漏洞,从原理、发现方法到实际攻击演示,确保读者从认知到实战都能掌握。
反序列化-Shiro-550详细分析
鸣蜩十四的博客
07-18 2137
Shiro-550漏洞是攻击者直接就可以用密钥实现框架加密过程,在Cookie字段写入想要服务端执行的恶意代码,最后服务端在对cookie进行解密的时候(反序列化后)就会执行恶意代码
shiro反序列化漏洞原理分析及漏洞复现(Shiro-550/Shiro-721反序列化)
网络空间安全学习
09-18 2955
shiro-550主要是由shiro的rememberMe内容反序列化导致的命令执行漏洞,造成的原因是默认加密密钥是硬编码在shiro源码中,任何有权访问源代码的人都可以知道默认加密密钥。于是攻击者可以创建一个恶意对象,对其进行序列化、编码,然后将其作为cookie的rememberMe字段内容发送,Shiro 将对其解码和反序列化,导致服务器运行一些恶意代码。特征:cookie中含有rememberMe字段修复建议:更新shiro到1.2.4以上的版本。不使用默认的加密密钥,改为随机生成密钥。
Apache-Shiro反序列化1
08-03
Apache Shiro反序列化机制存在漏洞,该漏洞允许攻击者在服务器上执行恶意命令。Shiro反序列化机制使用 Java反序列化机制,将用户输入的数据反序列化Java 对象。如果攻击者可以控制用户输入的数据,就...
shiro-550反序列化漏洞
weixin_66717977的博客
03-21 1508
基于docker的shrio反序列化漏洞复现
Shiro-550反序列化漏洞检测工具下载
2401_86855609的博客
08-25 450
Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。pache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。在整个漏洞利用过程中,比较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很容易就知道密钥了,Payload构造起来也是十分的简单。
11111
最新发布
qq_63949216的博客
03-11 1248
恩师小迪
apache shiro 反序列化漏洞解决方案
yinchoushi8780的博客
12-18 2654
这个通过观察shiro1.2.4版本的源代码可以发现,如果不指定密钥,shiro会默认一个初始化密钥,该密钥是被硬编码在代码中,由于代码是开源的,攻击者很容易找到该密钥,并且伪造cookie发起攻击。通过观察最新版本1.7.1的源代码发现,如果不指定密钥shiro会初始化一个随机密钥,由于密钥是随机生成的,所以攻击者没办法猜测到密钥。注意 这是在使用shiro默认密钥的情况下,如果应用修改了默认密钥则需要保证该密钥不是公开的,并妥善保管防止泄露。反序列化:把字符串或者字节流恢复为对象的过程。
漏洞复现——shiro反序列化
小林说安全的博客
05-22 5924
漏洞复现——shiro反序列化
shiro RememeberMe 1.2.4反序列化漏洞
Ping_Pig的博客
12-08 1420
shiro简介: shiroJava安全框架):apache shiro 是一个强大且易用的java安全框架框架,执行身份验证 、授权、密码和会话管理。使用shiro的易于理解的API,可以快速、轻松的获得任何应用程序,从最小的的移动应用程序到最大的网络和企业应用程序。apache shirojava的权限及安全验证框架中占有重要的一席之地,在它编号为550的issue中爆出过严重的java...
shiro反序列化漏洞学习(工具+原理+复现)
wangluoanquan111的博客
04-19 2104
工具准备2.冰蝎 C:\Users\ali\Desktop\tools\Behinder_v4.0.63.shiro反序列化 图形化工具4.shiro反序列化 命令行工具一.Shiro-550 CVE-2016-4437序列化:在Java中,把Java对象转换为字节序列(json/xml)的过程叫序列化。反过来,把字节序列(json/xml)恢复为Java对象的过程就叫反序列化Shiro反序列化Apache
Shiro反序列化550漏洞复现
故事讲予风听
07-05 1669
Shiro 是一个强大且易于使用的 Java 安全框架,用于身份验证、授权和会话管理等功能。它提供了一套灵活的基于角色的访问控制(RBAC)机制,可以轻松地集成到现有的 Java 应用程序中。影响版本原理shiro默认使用了Cookie RememberMe Manager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。shiro的身份认证工作流程。
Apache Shiro反序列化漏洞研究及解决方法
segegefe的博客
09-01 2634
一个阳光明媚的午休,我正惬意的喝着茶听着音乐,享受美好生活的时候,客户的QQ头像闪动了,原以为是出了什么新需求临时需要调整,没想到客户反馈的是平台出现了严重漏洞,不敢小视,抄起电脑开弄我根据客户给出的安全厂商反馈的问题,总结如下:1,Shiro反序列化漏洞2,提到了dnslog.cn平台。...
Apache Shiro反序列化攻击技术剖析与防护研判分析
不忘初心,护天下安全!
08-11 1562
攻击者确可利用漏洞制造具有威胁的请求内容,防守者亦可利用默认的密钥和Gadget进行解密尝试,且一定可以解密成功,直接分析编码前的内容是否是渗透所用payload;攻击者使用Fuzzing测试的思路,直接制造无效的危险请求内容,防守者亦可利用默认的密钥和Gadget进行解密尝试,且一定可以解密成功,直接分析编码前的内容是否是渗透所用payload。尽管rememberMe字段参数值是一串AES加密后的结果,但因为攻击者利用的漏洞原理是“公开的算法+默认的密钥”,则以其之道还施彼身即可。...
apache shiro - 550反序列化漏洞
01-05
当应用程序使用了不安全的方式处理rememberMe功能时,攻击者可以通过构造恶意输入来触发Java对象的反序列化过程,从而执行任意代码。这一特性使得攻击者能够在服务器端运行未经许可的操作,造成严重的安全隐患[^3]。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值