记一次shiro反序列化漏洞解决方案

最新推荐文章于 2024-03-07 11:03:36 发布
最新推荐文章于 2024-03-07 11:03:36 发布
阅读量967 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34065789/article/details/108355712
版权

      在网络信息管理部门的一次清查中,系统被测出存在shiro反序列化漏洞,如图一。

当时shiro的版本为1.2.2,按照网上所说的,运行稳定的项目可以通过在配置文件的securityManager中配置rememberMe,并写一个1.2.5及以上版本中解决shiro漏洞的类来修复漏洞,具体代码如下:

配置:

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
          <property name="realms">
            <list>
                <!-- <ref bean="systemAuthorizingRealmU" /> -->
                 <ref bean="systemAuthorizingRealmC" />
            </list>
        </property>
         <property name="rememberMeManager" ref="rememberMeManager" />
    </bean>

<!-- 随机生成秘钥 -->

    <bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
        <property name="cipherKey" value="#{T(com.nova.framework.modules.sys.security.GenerateCipherKey).generateNewKey()}"></property>
    </bean>

//类

public class GenerateCipherKey {

    /**
     * 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey(int)
     */
    public static byte[] generateNewKey() {
        KeyGenerator kg;
        try {
            kg = KeyGenerator.getInstance("AES");
        } catch (NoSuchAlgorithmException var5) {
            String message = "Unable to acquire AES algorithm.  This is required to function.";
            throw new IllegalStateException(message, var5);
        }

        kg.init(128);
        SecretKey key = kg.generateKey();
        byte[] encoded = key.getEncoded();
        return encoded;
    }
}

这么写了之后,系统漏洞非但没有解决,启动也失败了。折腾到最后,使用了最粗暴的方法,直接替换更高版本的jar包【1.2.5】,结果漏洞修复了,检测结果如图二,也是很迷【这种方法一般运用在项目初期,上线之前】。

所以说,网上的说法有时候要自己去验证,并非照搬。

检测漏洞的工具地址为:https://github.com/tangxiaofeng7/Shiroexploit/releases

将jar包下载下来,跳到下载地址,用java -jar jar包名  来运行该工具。

login_now
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
Shiro框架漏洞详解及复现
最新发布
m0_64481831的博客
03-07 1249
Shiro是Apache的一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。借助Shiro易于理解的API,用户可以快速轻松地保护任何应用程序----从最小的移动应用程序到最大的web和企业应用程序。Shiro是一个Java的安全框架,用于执行身份验证、授权、密码和会话验证。
shiro反序列化漏洞解决方案
liuqi_123java的博客
01-27 964
前言 静坐常思己过,闲谈莫论人非。
Java项目中修复Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)详细说明
一火的专栏
11-18 9733
目录 1.漏洞说明 1.1阿里云漏洞短信内容 1.2阿里云漏洞详细报告 2.详细修复步骤 2.1下载漏洞验证工具 3.Java项目修改 3.1修改前注意事项 3.2Jar包准备 3.3增加一个自定义秘钥代码 3.4修改shiro配置 3.5修复后漏洞检测结果 4.常见问题 4.1Unsupported major.minor version 52.0 4.2org.springframework.web.servlet.mvc.annotation.AnnotationM..
shiro反序列化漏洞问题详细版(附带最新通告)
槐序二十四的博客
04-12 1969
首先道个歉,实在手里活太多,直接给各位我附上我的公众号发布的地址吧。 我司因使用shiro网站被查封!(修改版) 然后这是最新通告 Apache Shiro 身份认证绕过漏洞最新通告!再次升级至1.7.1 本人手里的活儿太多了,就犯懒了,没及时在CSDN发布,就先这样吧。抱歉了各位,改天我再发到我的博客中。 ...
Shiro在项目重启登录时报错:javax.crypto.BadPaddingException: .....if a bad key is used during decryption.
小白有点黑丶的博客
06-26 8166
Shiro在项目重启登录时报错:Caused by: javax.crypto.BadPaddingException: Givenfinalblock not properly padded. Such issues can ariseifa bad key is used during decryption. 【原因】 rememberMe的cookie在第二次打...
org.apache.shiro.crypto.CryptoException: Unable to execute 'doFinal' with cipher instance
热门推荐
您已进入外太空
03-26 1万+
org.apache.shiro.crypto.CryptoException: Unable to execute 'doFinal' with cipher instance [javax.crypto.Cipher@77a2823e]. at org.apache.shiro.crypto.JcaCipherService.crypt(JcaCipherService.java:4...
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果...
Shiro反序列化漏洞Shiro版本升级资源
06-22
反序列化漏洞解决思路 从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式: 方法一:自行实现key值 方法二:升级到1.2.5版本或以上 那么在我的...
Shiro反序列化漏洞【详细解析】
weixin_47536169的博客
09-01 1万+
Shiro是什么东西 ShiroJava 的一个安全框架,执行身份验证、授权、密码、会话管理 shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。 原理解释https://www.freebu...
Shiro反序列化漏洞
Kevin's Blog
06-01 1万+
文章目录一、漏洞介绍1.1 简介1.2 漏洞原理1.3 漏洞特征1.4 漏洞影响二、环境配置三、漏洞利用3.1 利用方法(一) 一、漏洞介绍 1.1 简介   Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。java中的权限框架有SpringSecurityShiro,由于Spring功能强大但复杂,Shiro的简单强大,扩展性好因此用的还是很多。 1.2 漏洞原理   Apache Shiro框架提供了住我的功能(RememberMe),用户登录成功后会生成经过加密并
漏洞复现】Shiro 反序列化漏洞
2301_80115097的博客
11-08 1379
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。该款工具特别适合初学者,配置了各种OA漏洞利用板块,还有shiro、struts2等框架漏洞漏洞利用板块,还有一键执行命令的功能!!
apache shiro 反序列化漏洞解决方案
qq_36407469的博客
07-27 4939
一、反序列化漏洞介绍 序列化:把对象转换为字符串或者字节流的过程。 反序列化:把字符串或者字节流恢复为对象的过程。 反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。 二、产生原因 shiro提供了住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能住你是谁,无需登录即可访问。 shiro默认使用了CookieRememberMeMa
shiro-反序列化漏洞
weixin_54217950的博客
07-26 6244
shiro反序列化漏洞
shiro550反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
04-16 8820
本文是shiro550漏洞(CVE-2016-4437)的漏洞原理和漏洞复现。本文所有使用的工具和脚本都会在文末给出链接。使用vulhub搭建靶场,漏洞复现包括手动构造cookie的payload或使用shiro550的图形化漏洞利用工具,最终实现反弹shell和任意命令执行。
Shiro反序列问题修复
weixin_38277138的博客
05-15 1713
Shiro反序列问题修复
shiro反序列化漏洞工具
05-23
Shiro 反序列化漏洞指的是 Apache Shiro 框架在处理用户输入的 Session 数据时没有正确地对反序列化进行限制,导致攻击者可以构造恶意的序列化数据来执行任意代码。攻击者可以利用这个漏洞来获取系统权限、窃取敏感...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值