Java代码审计-shiro反序列化漏洞分析

于 2024-08-08 17:56:47 发布
阅读量633 收藏 8
点赞数 23
分类专栏: Java代码审计 文章标签: web安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44780157/article/details/141032595
版权

文章目录

前言

今天参考网上各位大神的文章,分析一下Shiro的反序列化的漏洞原理,收获颇多。
注:本文所记内容仅用于个人学习,严禁利用文中技术进行任何非法行为,所造成一切严重后果自负!

一、什么是Shiro反序列化漏洞

1.Shiro框架介绍

Shiro是Apache的一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。使用 Shiro 易于理解的 API,可以快速轻松地对应用程序进行保护

2.Shiro-550介绍

  • Shiro-550反序列化漏洞(CVE-2016-4437)
  • shiro-550主要是由shiro的rememberMe内容反序列化导致的命令执行漏洞,造成的原因是默认加密密钥是硬编码在shiro源码中,任何有权访问源代码的人都可以知道默认加密密钥。 于是攻击者可以创建一个恶意对象,对其进行序列化、编码,然后将其作为cookie的rememberMe字段内容发送,Shiro 将对其解码和反序列化,导致服务器运行一些恶意代码。
  • 利用条件
    • 需要知道AES加密的Key
    • 且目标服务器含有可利用的攻击链

3.Shiro-721介绍

  • Apache Shiro Padding Oracle Attack CVE-2019-12422
  • 在用户进行登录的时候,Apache Shiro提供RemenberMe功能,可以存储cookie,期间使用的是AES-128-CBC进行加密,可以通过Padding Oracle加密生成的攻击代码来重新构造一个恶意的rememberMe字段,重新请求网站,进行反序列化攻击,最终导致任意代码的执行。
  • 本次漏洞实际并不是针对 shiro 代码逻辑的漏洞,而是针对 shiro 使用的 AES-128-CBC 加密模式的攻击
  • 影响版本
    • Apache < 1.4.2
  • 利用条件
    • 知道已经登陆用户的合法cookie
    • 且目标服务器含有可利用的攻击链就可以进行漏洞利用

二、Shiro-550漏洞分析

注:这个漏洞是Shiro的1.2.4的版本

1.加密分析

漏洞产生点在CookieRememberMeManager该位置,来看到rememberSerializedIdentity方法。
该方法的作用为使用Base64对指定的序列化字节数组进行编码,并将Base64编码的字符串设置为cookie值。
在这里插入图片描述
接下来往上追溯,看看是哪些调用了这个方法。发现了rememberIdentity方法
在这里插入图片描述
这个方法没有太多信息,继续看谁调用了rememberIdentity方法。
在这里插入图片描述
接下来接着看谁调用了,一步一步往上面找
就发现了这个onSuccessfulLogin方法
在这里插入图片描述
我们来看一下isRememberMe方法
在这里插入图片描述
发现,这个方法返回值是boolean 他的目的是判断用户在前端是否选择了Remember Me选项

至此,就大致倒着往回追溯了 登录的过程。

接下来正向捋回去,

onSuccessfulLogin
	-isRememberMe(token)检验是否选择了remember me
	-rememberIdentity(subject, token, info);//到这个函数,传入了前面传来的三个参数
		-getIdentityToRemember(subject, authcInfo)//这个函数返回PrincipalCollection对象
		-rememberIdentity(subject, principals)//调用到这里
			-convertPrincipalsToBytes(accountPrincipals)//这个函数得到bytes[]
				-serialize(PrincipalCollection principals)//这里进行了序列化 得到bytes[]
				-getCipherService()//获取的是加密模式
            	-byte[] encrypt(byte[] serialized) //加密的模块
            		-cipherService.encrypt(serialized, getEncryptionCipherKey());//这里是加密的模块的调用
						-getEncryptionCipherKey()//看一下调用获取秘钥的逻辑
                            -去看EncryptionCipherKey变量和 构造函数 发现小秘密
			-rememberSerializedIdentity(subject, bytes)

正向过去,一些上述回溯没有审查到的方法,列在了下面进行分析。

如下图,序列化的底层实现 还是利用了java本身提供的序列化,返回序列化后的bytes数组形式。
在这里插入图片描述
如下图,convertPrincipalsToBytes(accountPrincipals)方法 最终得到的是加密后的bytes

  • 整体逻辑就是先对传入的principals进行序列化,然后判断加密模式是否为空,不为空进行加密,,最终返回加密的结果
    在这里插入图片描述

然后,我们看下encrypt(bytes)加密方法的逻辑

  • 这个方法的大致就是使用cipherService的encrypt方法,里面传入了要加密的序列和加密秘钥,最终结果赋值给value,并返回。
    在这里插入图片描述
    发现getEncryptionCipherkey()是一个getter方法,他也有对应的setter方法
    在这里插入图片描述
    去看一下 这个变量 然后看一下构造函数 发现了真相
    相关变量如下:
private static final byte[] DEFAULT_CIPHER_KEY_BYTES = Base64.decode("kPH+bIxk5D2deZiIxcaaaA=="); //默认的秘钥

/**
* Serializer to use for converting PrincipalCollection instances to/from byte arrays
*/
private Serializer<PrincipalCollection> serializer; 

/**
* Cipher to use for encrypting/decrypting serialized byte arrays for added security
*/
private CipherService cipherService; //判断加密模式

/**
* Cipher encryption key to use with the Cipher when encrypting data
*/
private byte[] encryptionCipherKey; //加密序列key

/**
* Cipher decryption key to use with the Cipher when decrypting data
*/
private byte[] decryptionCipherKey;//解密序列key

观察下图构造函数,可以看到在这里进行了一些赋值和设定

setCipherKey(DEFAULT_CIPHER_KEY_BYTES);这里设定了为默认密钥
在这里插入图片描述
再次查看setCipherKey 发现玄机 里面调用了 加密解密密钥的set方法
在这里插入图片描述
不得不说,这代码写的真好,一环扣一环。

至此我们得到了 里面加解密的秘钥 采用的AES加解密 秘钥是写死的

private static final byte[] DEFAULT_CIPHER_KEY_BYTES = Base64.decode("kPH+bIxk5D2deZiIxcaaaA==");

分析到这了先,累了。

2.解密分析

从这步看起,subjectContext的值便为rememberMe字段的值,我们发现对其调用了getRememberedSerializedIdentity方法
在这里插入图片描述
1)接着看getRememberedSerializedIdentity方法。

  • protected byte[] getRememberedSerializedIdentity(SubjectContext subjectContext)方法

  • 截取其部分关键代码 如下

  • 分析代码 发现这个代码主要功能,对传进来的rememberMe字段进行base64解密,然后执行代码return decoded;,返回解密结果。
    在这里插入图片描述
    接下来深入看看每个画框的代码都是干什么的 当然这些纯属个人好奇 想看看细节 不分析也不影响理解

  • readValue(request,response)

  • ensurePadding(base64)

  • decode(64)

先看readValue()方法

  • 从传进来的请求中 找到并返回cookie中的值
    在这里插入图片描述
    再看ensurePadding方法

  • 这里就是检查长度是否被4整除,如果不能整除,就在末尾填相应的"="

  • 那么为什么这么做呢?这个需要去了解一下base64的原理 这里不再叙述
    在这里插入图片描述
    decode代码不再叙述,进去看之后,是解密的流程,不再细分析

所以总结

  • getRememberedSerializedIdentity方法就是对传进来的参数进行了base64解密 然后最终返回了bytes[]数组形式

2)接下来,我们继续往下分析convertBytesToPrincipals(bytes, subjectContext)方法
在这里插入图片描述

发现有两个需要往下细看的方法

  • decrypt(bytes)
  • deserialize(bytes)

先看下decrypt方法

  • 这里方法看起来就有些眼熟了 想起来再分析加密流程里 也有类似的代码
    在这里插入图片描述
    对getDecryptionCipherKey()方法不再详细分析,其功能就是获取了解密的key 这个key是固定的 和前面加密时的分析一致

然后对decrypt方法传入加密信息和key两个参数,进行解密

具体解密方法里的不再分析

接下来我们看deserialize方法
在这里插入图片描述
继续向下分析deserialize方法

看!发现了啥小秘密!

然后便会调用代码T deserialized = (T) ois.readObject();

  • 这里调用了java本身的readObjuect方法

  • 这里可以对我们传入的payload解密后进行反序列化,然后代码执行
    在这里插入图片描述

三、Shiro-721漏洞分析

针对 shiro 使用的 AES-128-CBC 加密模式的攻击,需要去分析AES底层的加解密和填充原理,这里不再叙述。其他攻击过程原理与第二部分代码分析类似。
后面有精力再详细研究!

四、总结

发现分析底层代码,一点点探索漏洞产生的愿意真的有意思,后续有时间再继续分析。加油!

参考

幻灵@
关注
  • 23
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Shiro反序列化漏洞检测工具
01-05
Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的反序列化漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统进行非法操作。 反序列化漏洞通常出现在应用程序接收到...
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果...
人工智能-项目实践-检测-Apache Shiro 反序列化漏洞检测与利用工具.zip
12-23
人工智能-项目实践-检测-Apache Shiro 反序列化漏洞检测与利用工具 Shiro_exploit Shiro_exploit用于检测与利用Apache Shiro反序列化漏洞脚本。可以帮助企业发现自身安全漏洞。 该脚本通过网络收集到的22个key,...
C++在网络安全领域的应用
2302_79331124的博客
08-04 955
总的来说,C++在网络安全领域的应用广泛且深入。其高性能、灵活性和对底层硬件的控制使其成为开发各种安全解决方案的理想选择。随着网络安全威胁的不断演变,C++将继续在保护数字世界的过程中发挥重要作用。如果你对网络安全感兴趣,学习和掌握C++无疑将为你的技术发展方面提供强大的助力。
Web安全学习
荆鹏的博客
08-06 182
应用层:为用户为用户的应用进程提供网络通信服务协议——DNS协议、HTTP协议、HTTPS协议传输层:负责两台主机之间的数据传输,将数据从发送端传输到接收端协议——TCP协议、UDP协议网络层:负责传输的地址管理和路由选择,在众多复杂的网络环境中确定一条合适的路径协议——IP协议数据链路层:负责设备之间数据帧的传送和识别,将网络层传递的数据报封装成帧,在处于同一个数据数据链路节点的两个设备之间传输协议——ARP协议、MTU协议。
网络安全知识核心20要点
2401_84488651的博客
08-04 1143
攻击者在 HTTP 请求中注入恶意的 SQL 代码,服务器使用参数构建数据库 SQL 命令时,恶意SQL 被一起构造,并在数据库中执行。
web安全】权限漏洞之未授权访问
qq_70836100的博客
08-04 871
漏洞修复:1.设置防火墙策略,限定 IP 访问服务。2.在admin.system.users中添加用户,启动认证。漏洞修复:1.修改绑定的IP、端口和指定访问者IP。步骤二:进入执行页面http://xxx.xxx.xxx.xxx:xxxx/manage/script/index.php。漏洞修复:1.禁止使用root权限启动redis服务。漏洞修复:1.为ZooKeeper配置相应的访问权限。漏洞修复:1.开启身份验证,防止未经授权用户访问。stat:列出关于性能和连接的客户端的统计信息。
自学黑客(网络安全
2301_77160226的博客
08-05 6352
想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客!网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全数字化转型
2401_84466325的博客
08-04 750
从狭义层面来看,是指依托先进的数据处理技术,包括数据采集的全面性、数据治理的规范性、数据分析的深入性、数据关联的精准性以及数据应用的有效性,来直接应对并解决当前网络安全领域所面临的挑战与问题。这一过程不仅为网络安全工作的决策提供了坚实的数据基础与科学依据,还显著区别于传统网络安全模式——传统告警信息已不再是主导分析的核心数据,而是转变为辅助决策的参考信息,体现了网络安全分析重心的深刻转变与升级。而从广义视角审视,数字化网络安全则是围绕数据这一核心要素,构建了一个动态优化的安全生态体系。
网络安全入门教程(非常详细)从零基础入门到精通_网路安全 教程
2401_85023708的博客
08-03 921
1.入行网络安全这是一条坚持的道路,三分钟的热情可以放弃往下看了。2.多练多想,不要离开了教程什么都不会了,最好看完教程自己独立完成技术方面的开发。3.有时多百度,我们往往都遇不到好心的大神,谁会无聊天天给你做解答。4.遇到实在搞不懂的,可以先放放,以后再来解决。先科普划分一下级别(全部按小白基础,会写个表格word就行的这种)**1级:脚本小子;难度:无,**达到“黑客新闻”的部分水准(一分钱买iphone、黑掉母校官网挂女神照片什么的)网络安全工程师;
《密码编码学与网络安全原理与实践》第八章伪随机数与流密码
最新发布
m0_57291352的博客
08-07 620
伪随机数发生器PRNG,使用算法来生成随机数,算法是确定的,产生的序列并非统计随机的,但可以经受住随机性检测。取一个固定值称为种子作为输入,用一个确定的算法产生位输出序列,通过有反馈路径,由算法的部分结果反馈作为输入,而其他部分作为输出位。用1-256个字节(8-2048位)的可变长度密钥初始化一个256个字节的状态向量S,从始至终S包含从0-255所有的8位数,每产生一个k值,S中的元素个体就被重新置换一次。发生器的输出成为密钥流,密钥流和明文流的每一个字节进行按位异或运算,得到一个密文字节。
网络安全之不同阶段攻防手段(四)
子非渔
07-25 1104
前面已经说过信息收集、扫描探测以及初始访问阶段的攻防手段,下面将说一下在攻击者获取到访问权限的情况下会接着如何进一步在网络中建立控制点、提权、横移以及完成攻击后的遗迹隐藏
【网络安全】|非对称加密体系-RSA算法
yangdan_jiayou的博客
08-02 425
答: 虽然私钥 𝑑 可以通过公钥 𝑒和 𝜙(𝑛)计算得出,但计算 𝜙(𝑛)需要知道 𝑛的两个素因子的值。如果攻击者仅知道 𝑛 和 𝑒,但不知道 𝑝 和 𝑞,那么计算 𝜙(𝑛) 是非常困难的,因为这是一个大数分解问题。问题2,已经解密算法m=c^d mod n,已知d为e关于ϕ(n)=t的模逆元,已知e, 且逆模元唯一,为什么不能得到私钥d,计算私钥指数d:计算e关于t的模逆元d,即找到一个整数d,满足(d×e) mod t = 1。生成密钥对:公钥为(n,e),私钥为(n,d)。
web安全基础学习
m0_71332744的博客
07-31 569
记录学习的原理,少有实操持续更新
等保测评与网络安全法规遵从:构建合规的信息安全管理体系
w13359990065的博客
08-07 483
通过深入理解等保测评的核心要求,遵循实践指南,企业能够有效提升网络安全防护能力,确保信息资产的安全,同时满足法律法规要求,避免法律风险,赢得客户信任,提升市场竞争力。在实施等保测评与网络安全法规遵从过程中,企业应注重持续改进,将信息安全融入企业文化和日常运营,形成全员参与的信息安全文化,共同守护企业信息资产的安全。2. 风险评估与管理:等保测评帮助企业识别和评估信息系统的安全风险,制定风险应对策略,包括风险缓解、风险转移和风险接受等,提升企业风险管理和应急响应能力。等保测评的角色与作用。
自学-网络安全
m0_70066267的博客
08-07 639
自学网络安全是一个长期而艰巨的过程,需要付出大量的时间和精力。然而,通过系统的学习和实践,可以逐步掌握网络安全的核心知识和技能,为未来的职业发展打下坚实的基础。同时,随着网络安全领域的不断发展壮大,未来的网络安全人才需求也将持续增加。因此,选择自学网络安全不仅是一个提升个人能力的机会,更是一个具有广阔发展前景的职业选择。
web安全-SQL注入的类型以及提交注入
weixin_73185660的博客
08-07 264
GET只要网址后面带有参数就能接收到参数,不一定非要使用GET方法传递参数,使用POST方法传参,地址后有参数,GET一样能接收。如果不加引号,在访问时他会自动给你加上引号或者(),又或者是{},让你的注入语句比如and 1=1变成字符串的一部分,所以需要在注入的时候需要做闭合。那么放到sql语句中就是select * from users where id = '1' and '1' = '1' limit 0,1。作用:可以判断网站使用的请求方法,从而绕过waf的防护。数字,字符,搜索,JSON等。
shiro-550反序列化漏洞shiro-721反序列化漏洞的区别
04-13
这是一个技术问题,Shiro-550漏洞Shiro-721漏洞都是Apache Shiro框架中的反序列化漏洞,但Shiro-550漏洞主要是由于使用了不安全Java反序列化进行身份验证,而Shiro-721漏洞主要是由于Shiro的rememberMe功能中存在的反序列化漏洞,两者的攻击方式和影响范围略有不同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值