Shiro-550 漏洞分析

最新推荐文章于 2024-01-29 21:26:17 发布
最新推荐文章于 2024-01-29 21:26:17 发布
阅读量2.8k 收藏 4
点赞数
分类专栏: java安全 漏洞分析 文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43645782/article/details/117595837
版权

Shiro 550 漏洞学习

漏洞原理

在 Shiro <= 1.2.4 中,AES 加密算法的key是硬编码在源码中,当我们勾选remember me 的时候 shiro 会将我们的 cookie 信息序列化并且加密存储在 Cookie 的 rememberMe字段中,这样在下次请求时会读取 Cookie 中的 rememberMe字段并且进行解密然后反序列化
由于 AES 加密是对称式加密(Key 既能加密数据也能解密数据),所以当我们知道了我们的 AES key 之后我们能够伪造任意的 rememberMe 从而触发反序列化漏洞

环境搭建

本地环境

https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4

下载好以后直接解压
然后进入samples/web目录,直接修改pom文件

        <dependency>
            <groupId>javax.servlet</groupId>
			<!--  这里需要将jstl设置为1.2 -->
            <artifactId>jstl</artifactId>
            <version>1.2</version>
            <scope>runtime</scope>
        </dependency>
		<dependency>
			<!--  添加利用链 -->
			<groupId>org.apache.commons</groupId>
			<artifactId>commons-collections4</artifactId>
			<version>4.0</version>
		</dependency>

之后直接用idea打开

远程tomcat

环境
手动安装哪里有apt instal 香

kali2021
192.168.164.128

修改ssh配置,允许远程连接/etc/ssh/sshd_config,添加

PermitRootLogin yes

或者

sed -i 's/#PermitRootLogin no/PermitRootLogin yes/g' /etc/ssh/sshd_config
sed -i 's/#PermitRootLogin prohibit-password/PermitRootLogin yes/g' /etc/ssh/sshd_config

service ssh start
apt-get install tomcat9 tomcat9-docs tomcat9-examples tomcat9-admin
#whereis tomcat9

修改/usr/share/tomcat9/bin/catalina.sh添加如下代码

CATALINA_OPTS="-Dcom.sun.management.jmxremote -Dcom.sun.management.jmxremote.port=1099 -Dcom.sun.management.jmxremote.ssl=false -Dcom.sun.management.jmxremote.authenticate=false -Djava.rmi.server.hostname=192.168.164.128 -agentlib:jdwp=transport=dt_socket,address=0.0.0.0:60222,suspend=n,server=y"

service tomcat9 start

idea

新建tomcat server remote
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
你以为这样就完事了,调试还需要本地的tomcat,是不是感觉远程了个寂寞?

本地tomcat

https://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-9/v9.0.46/bin/apache-tomcat-9.0.46-windows-x64.zip

解压在idea里面配置即可
在这里插入图片描述

漏洞分析

首先分析filter
在web.xml中

org.apache.shiro.web.servlet.ShiroFilter

会调用

org.apache.shiro.web.servlet.OncePerRequestFilter.doFilter

在这里插入图片描述
之后调用doFilterInternal
初始化进行处理
createSubject
获取上下文信息
在这里插入图片描述

这个漏洞的主要成因是加密密钥采用硬编码,所以可以通过定位硬编码找到处理流程
.m2\repository\org\apache\shiro\shiro-core\1.2.4\shiro-core-1.2.4.jar!\org\apache\shiro\mgt\AbstractRememberMeManager.class

private static final byte[] DEFAULT_CIPHER_KEY_BYTES = Base64.decode("kPH+bIxk5D2deZiIxcaaaA==");

首先会在 AbstractRememberMeManager#getRememberedPrincipals 中将上下文中获取数据传入getRememberedSerializedIdentity 函数中,
在这里插入图片描述
跟入getRememberedSerializedIdentity

shiro-web-1.2.4.jar!\org\apache\shiro\web\mgt\CookieRememberMeManager.class#getRememberedSerializedIdentity

在这里插入图片描述
在SimpleCookie#readValue
在这里插入图片描述
获得rememberme,调用ensurePadding补全base64,之后进行base64解码,返回数组
跟入AbstractRememberMeManager#convertBytesToPrincipal
发现调用decrypt,继续跟入
在这里插入图片描述
跟入getDecryptionCipherKey
在这里插入图片描述
返回了aes key的数组,看下哪里设置的,
在setDecryptionCipherKey处
在这里插入图片描述
在setCipherKey中传入的
搜索之后发现,在构造函数中进行调用

public AbstractRememberMeManager() {
        this.setCipherKey(DEFAULT_CIPHER_KEY_BYTES);
    }

在这里插入图片描述
流程就是AbstractRememberMeManager构造函数进行设置,setCipherKey 中调用了setDecryptionCipherKey设置了decryptionCipherKey属性getDecryptionCipherKey 直接返回了该数组

跟入decrypt
在这里插入图片描述
这里要重点看下,因为是取了硬编码的长度来截取base64解密的前16位,之后使用16位之后的进行aes解密
之后调用decrypt进行解密
在这里插入图片描述
跟入crypt
在这里插入图片描述
调用crypt,使用doFinal进行解密,返回解密结果
在AbstractRememberMeManager#decrypt 中赋值给bytesource传入serialized数组
返回AbstractRememberMeManager#convertBytesToPrincipals
在这里插入图片描述
调用deserialize进行反序列化操作,跟入
在这里插入图片描述
进入DefaultSerializer#deserialize 对数据进行反序列化
在这里插入图片描述
调用readobject

shiro检测

判断框架

传入rememberme参数

rememberMe=1

跟入JcaCipherService#decrypt
在这里插入图片描述
因为ciphertext的长度为0
所以在

System.arraycopy(ciphertext, 0, iv, 0, ivByteSize);

会抛出异常
回到AbstractRememberMeManager#getRememberedPrincipals
在这里插入图片描述
跟入
在这里插入图片描述
调用forgetIdentity 跟入
在这里插入图片描述
调用forgetIdentity
在这里插入图片描述
跟入removeFrom
在这里插入图片描述
抛出异常最终导致输出deleteMe

密钥错误

在上面的抛出异常下面调用decrypt
在这里插入图片描述
跟入decrypt
在这里插入图片描述
跟入crypt
在这里插入图片描述
就是在doFinal的位置
因为解密异常,所以会抛出异常,也就又回到了AbstractRememberMeManager#getRememberedPrincipals
返回deleteMe

密钥正确

前面的报错都不会产生,在经过反序列化之后,把返回的类转换成PrincipalCollection类型

构造

前面已经分析了解密流程
所以构造的流程就是

1.获取到 反序列化的数据
2.设置AES加密模式,使用AES.MODE_CBC的分块模式
3.设置硬编码的 key
4.使用随机数生成 16 字节的 iv
5.使用 iv + AES加密(反序列化数据) 拼接
6.最后base64加密全部内容

import com.sun.org.apache.xerces.internal.impl.dv.util.Base64;
import org.apache.shiro.crypto.AesCipherService;
import org.apache.shiro.subject.SimplePrincipalCollection;
import org.apache.shiro.util.ByteSource;
import java.io.*;


public class main {
    public static void main(String[] args) throws Exception {
        SimplePrincipalCollection simplePrincipalCollection = new SimplePrincipalCollection();
        ObjectOutputStream obj = new ObjectOutputStream(new FileOutputStream("detect.ser"));
        obj.writeObject(simplePrincipalCollection);
        obj.close();
        String path = "detect.ser";
        byte[] key = Base64.decode("kPH+bIxk5D2deZiIxcaaaA==");
        AesCipherService aes = new AesCipherService();
        ByteSource ciphertext = aes.encrypt(getBytes(path), key);
        System.out.printf(ciphertext.toString());
    }


    public static byte[] getBytes(String path) throws Exception{
        InputStream inputStream = new FileInputStream(path);
        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        int n = 0;
        while ((n=inputStream.read())!=-1){
            byteArrayOutputStream.write(n);
        }
        byte[] bytes = byteArrayOutputStream.toByteArray();
        return bytes;
    }
}

key正确
在这里插入图片描述
key错误
在这里插入图片描述

参考文章

https://www.yuque.com/tianxiadamutou/zcfd4v/op3c7v#aad3715c
https://blog.csdn.net/god_zzZ/article/details/108391075

whojoe
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Shiro反序列化漏洞(Shiro-550、Shiro-721)
做自己喜欢的事,并将其发挥到极致!
12-21 6840
0x01 Shiro介绍 Apache Shiro 是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,Shiro框架直观、易用、同时也能提供健壮的安全性。 Apache Shiro反序列化漏洞分为两种:Shiro-550、Shiro-721 0x02 Shiro-550 反序列化漏洞 CVE-2016-4437 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的Cookie,在服务端对rememberMe的Cook
shiro550反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-16 1万+
本文是shiro550漏洞(CVE-2016-4437)的漏洞原理和漏洞复现。本文所有使用的工具和脚本都会在文末给出链接。使用vulhub搭建靶场,漏洞复现包括手动构造cookie的payload或使用shiro550的图形化漏洞利用工具,最终实现反弹shell和任意命令执行。
shiro 550 反序列化rce
m0_65096687的博客
06-04 1006
然后我们抓包进行测试,使用shiro框架的主要特征是在返回包中,登录失败或者登录成功没有勾选remeber 按钮,返回数据包有一个remeber delete 字段,如果正确密码登录且勾选了remember me 字段。那么返回数据包就会出现 remember的字段会出现一长串的值。(这是看大佬的文章总结的)加密的用户信息序列化后储存在名为remenber -me的cooike中。Apach shiro 是一款开源安全框架,提供身份验证,授权,会话管理等。这是密码正确勾选了 remember me。
【网络安全---漏洞复现】shiro550反序列化漏洞原理与漏洞复现和利用(基于vulhub,保姆级的详细教程)
m0_67844671的博客
09-21 4402
shiro550反序列化漏洞原理与漏洞复现和利用(基于vulhub,保姆级的详细教程);Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序;
shiro反序列化-550&721
黑白的博客
06-29 4496
清楚了shiro的工作流程,工作流程中也说了,是有反序列化操作的,既然有反序列化,就要看我们序列化的内容是否可控,也就是rememberMe字段中的内容是否可控,乍一看肯定是不行的,虽然base64相当于明文,但是AES可不是,AES是有秘钥的,值得回味的是,shiro的默认秘钥是个硬编码写在代码里面了,源码也是默认的,用户也没有更换的话,那么就给了我们构造序列化数据的机会了影响版本。
【Java反序列化】Shiro-550漏洞分析笔记
最新发布
网络安全从业者的学习笔记
01-29 1702
ShiroAES加密-->Base64加密的过程,接收后会进行Base64解密-->AES解密-->反序列化进行验证身份信息。漏洞点在于AES加密为对称加密,而加密时利用的key为固定值,这就导致,我们可以生成一条恶意的payload,进而达到RCE的目的。
shiro-cve-2020-17523:shiro-cve-2020-17523 漏洞的两种绕过姿势分析 以及配套的漏洞环境
05-23
Apache Shiro 两种姿势绕过认证分析(CVE-2020-17523) 0x01 漏洞描述 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何...
shiro-core-1.6.0.zip
05-14
Apache Shiro 权限绕过漏洞分析 Apache Shiro Apache Shiro 版本中cookie值rememberMe通过AES-128-CBC模式加密,容易受到Padding Oracle攻击。攻击者可以通过以下步骤完成攻击: 1、登录Shiro网站,获取持久化...
Shiro-Memshell
04-06
"Shiro-Memshell",从名称来看,可能是基于 Shiro 的一个内存外壳或者漏洞利用工具,通常用于测试系统安全性和防护措施的有效性。 在安全领域,"四郎壳"可能是指具有特定功能或特性的黑客工具,用于渗透测试或安全...
Apache-shiro-1.7.0.zip下载
09-03
在1.7.0之前的版本中,Shiro存在一个严重的安全漏洞,这个漏洞允许攻击者通过精心构造的请求执行任意系统命令,对服务器造成严重威胁。这种类型的漏洞通常被称为命令注入漏洞。 命令注入攻击发生时,攻击者能够将...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
这可能包括模拟恶意序列化数据的生成、发送到目标系统并分析其响应,以确认是否存在漏洞。对于系统管理员而言,这个工具可以帮助他们快速识别系统是否受到此漏洞的影响,以便及时采取修复措施。 修复 Shiro 的反...
Shiro反序列化550漏洞复现
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-05 1424
Shiro 是一个强大且易于使用的 Java 安全框架,用于身份验证、授权和会话管理等功能。它提供了一套灵活的基于角色的访问控制(RBAC)机制,可以轻松地集成到现有的 Java 应用程序中。影响版本原理shiro默认使用了Cookie RememberMe Manager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。shiro的身份认证工作流程。
Shiro 550、721
nana1253431195的博客
08-31 1323
Apache Shiro 是一个功能强大且易于使用的 Java 安全框架,它用于处理身份验证,授权,加密和会话管理在默认情况下 , Apache Shiro 使用 CookieRememberMeManager 对用户身份进行序列化/反序列化 , 加密/解密和编码/解码 , 以供以后检索 .因此 , 当 Apache Shiro 接收到未经身份验证的用户请求时 , 会执行以下操作来寻找他们被记住的身份....
shiro-550反序列化漏洞
weixin_66717977的博客
03-21 1157
基于docker的shrio反序列化漏洞复现
shiro550反序列化
jy13172的博客
07-23 619
java反序列化
01-Shiro550漏洞流程
网络安全。
04-30 865
Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。那么,Payload产生的过程:命令 -> 序列化 -> AES加密 -> base64编码 -> RememberMe Cookie值。
shiro550代码审计(巨详细)--加密部分
zyer
03-16 5738
找了一下大佬的文章借鉴了一下shiro550的利用流程 (Shiro 550 反序列化漏洞 详细分析+poc编写) 简单介绍利用: 通过在cookie的rememberMe字段中插入恶意payload, 触发shiro框架的rememberMe的反序列化功能,导致任意代码执行。 shiro 1.2.24中,提供了硬编码的AES密钥:kPH+bIxk5D2deZiIxcaaaA== 由于开发人员未修改AES密钥而直接使用Shiro框架,导致了该问题 于是我们......
深入浅出带你学习shiro-550漏洞
军火库
02-16 409
简单带大家总结了一下shiro550反序列化漏洞,不知道大家学习的怎么样了,简单来看shiro框架命令执行的的执行流程可以简单概括为:命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值,我们根据上面源码的分析以及它硬编码的特性,便可以进行攻击,当然这只是最简单的利用,我们也可以结合其他利用链来构造攻击链接,有兴趣的小伙伴可以自己去尝试一下。
shiro-550 漏洞原理分析
06-06
Shiro-550漏洞是Apache Shiro框架的一种远程代码执行漏洞。Apache Shiro是一个开源的安全框架,用于认证、授权和加密等安全操作。该漏洞的原理是由于Shiro框架在反序列化时存在漏洞,攻击者可以通过构造恶意的序列化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值