JAVA反序列化学习--shiro反序列化分析

最新推荐文章于 2024-08-14 11:42:13 发布
最新推荐文章于 2024-08-14 11:42:13 发布
阅读量270 收藏
点赞数
文章标签: java web安全 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53003652/article/details/133349871
版权
本文详细解析了Shiro中反序列化漏洞的产生过程,涉及1.2.5之前的硬编码AES密钥和1.2.5后的paddingoracleattack,以及如何通过读取cookie、解码、解密和反序列化实现攻击。
摘要由CSDN通过智能技术生成

最近参加了某攻防活动,也是遇到了很多的shiro反序列化,上手后也是直接拿起工具就用,原理也仅仅是了解,菜鸟对于shiro也是有太多不了解的,接下来就详细分析一下shiro反序列化产生的原理。

shiro分类

在shiro版本小于1.2.5时,被称作shiro-550,shiro反序列化的产生原因主要是因为rememberMe内容,原因是AES密钥被硬编码在shiro源码中,导致在cookie中的rememberMe可以被插入恶意代码造成代码执行。在1.2.5之后,shiro使用了随机密钥,又因为padding oracle attack导致反序列化,被称作shiro-721。

详细分析

一.shiro环境搭建:

1.下载shiro1.2.4:
https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4
2.IDEA打开shiro,修改shiro/samples/web/pom.xml路径下jstl的依赖版本为1.2,没有就自己加一个
image.png
3.启动IDEA内置tomcat服务
image.png

加密分析

点击log in看到登录界面,开始一步一步分析。在AbstractShiroFilter.class下断点,大概在151行的位置,登录时会断在这里,
image.png
在第157行会创建subject,使用cookie,后续再分析。
image.png
步入executeChain
image.png
可以跟着来到AuthenticatingFilter.class,这里是在进行处理登录
image.png
再往下看,登录成功后触发this.onLoginSuccess
image.png
一直来到DefaultSecuirtyManager.class,找到rememberMeSuccessfulLogin函数
image.png
看到RememberMeManager不为空后,继续走到达AbstractRememberMeManager.java
image.png
跟进forgetIdentity,来到CookieRememberMeManager.class
image.png
继续步入this.forgetIdentity,再单步步入this.getCookie().removeFrom(request, response)
image.png
可以看到rememberMe和deleteMe字段,并且通过addCookieHeader写入cookie中,返回AbstractRememberMeManager.class,this.isRememberMe(token)检查是否选中登陆时Remember Me选项,接着单步步入rememberIdentity
image.png
image.png
convertPrincipalsToBytes是转化成bytes,就在这里还进行了serialize序列化,然后判断不为空后进入this.encrypt,单步步入encrypt函数,密码服务为AES/CBC/PKCS5Paddingimage.png
image.png
接着进入this.getEncryptionCipherKey(),单步步入,发现CipherKey就是AbstractRememberMeManager.class开头的DEFAULT_CIPHER_KEY_BYTES=”kPH+bIxk5D2deZiIxcaaaA==”
image.png
获取了CipherKey返回后进入cipherService.encrypt函数中,生成初始化向量ivBytes后,进入具体的加密函数,最后return。
image.png
一步步return bytes后,回到rememberIdentity函数,下面的rememberSerializedIdentity实现了记住序列化身份的功能,跟进
image.png
在这里进行base64后,将信息加入到cookie中
image.png
然后一直返回,到AuthenticatingFilter#executeLogin处理登录,返回成功登陆
image.png

解密分析

在AbstractShiroFilter.class#doFilterInternal下断点,单步到DefaultSecurityManager#createSubject
image.png
进入resolvePrincipals,单步到getRememberedIdentity,RememberMeManager获取后进入rmm.getRememberedPrincipals(subjectContext)image.png
image.png
第一个函数getRememberedSerializedIdentity,可以看到先获取cookie中的值,然后base64解密,生成二进制数后返回
image.png
第二个函数convertBytesToPrincipals,先获取解密服务,解密服务不为空后,将二进制数据传入decrypt函数进行解密,之后return this.deserialize(bytes)
image.png
在deserialize(bytes)中有readObject(),触发apache.commons利用链漏洞
image.png

结论

整个过程就是
• 读取cookie中rememberMe值

• base64解码

• AES解密

• 反序列化
只要获取到密钥,就可以进行反序列化操作,在1.2.5之后,shiro采取了随机密钥,虽然阻止了shiro550的利用方式。但由于padding oracle attack也导致了反序列化。

芝士土包鼠
关注
经典的Shiro反序列化漏洞分析
hackzkaq的博客
03-02 4728
更多黑客技能 公众号:小道黑客 作者:掌控安全-holic 0x01、前言 相信大家总是面试会问到java反序列化,或者会问到标志性的漏洞,比如shiro反序列化,或者weblogic反序列化漏洞。 那我就这篇文章为大家讲解一下,不懂的哥哥直接背一下,理解一下就好了。 至于为什么要选择shiro反序列化呢,不讲weblogic呢? 因为我上次有幸参与金鸡电影节的临时安全负责人,具体我就不细说了。当时是内部涉及到shiro反序列化漏洞。 准确的来说是Shiro<1.2.4-RememberMe反序
Shiro反序列化原理及完整复现流程(Shiro-550/Shiro-721)
Continuejww的博客
09-27 845
Apache Shiro是一个强大且易用的**Java安全框架,**能够用于身份验证、授权、加密和会话管理。Shiro拥有易于理解的API,您可以快速、轻松地获得任何应用程序——从最小的移动应用程序到最大的网络和企业应用程序。
shiro反序列化
weixin_48776804的博客
05-12 1万+
shiro反序列化
shiro550反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)_shiro550原理
最新发布
baimao__Ch的博客
08-14 920
如何判断我的服务器是否受到了针对shiro550漏洞的攻击?检查日志:查看系统的日志文件,看是否有异常的访问记录或登录失败记录,如果发现了异常,可以进一步分析该记录是否与Shiro550漏洞有关。检查系统状态:检查系统是否存在异常状态,如系统崩溃、服务宕机等,这可能是攻击者利用Shiro550漏洞进行攻击导致的。检查用户行为:检查是否有用户在短时间内多次尝试登录或者进行异常操作,这可能是攻击者正在利用Shiro550漏洞尝试获取系统权限。
Apache Shiro 1.2.4反序列化漏洞分析
jiangbb8686的博客
08-30 3686
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 0×00 Apache Shiro 这个组件的漏洞很久之前就爆出来了,但是最近工作中又遇到了,刚好最近也在看Java反序列化的东西,所以决定拿出来再分析一下,期间也遇到了一些奇怪的问题。 网上的分析文章中大部分都是手动添加了commons-collections4-4.0的依...
shiro反序列化漏洞原理与分析
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
10-12 589
原理 AES加密的密钥Key被硬编码在代码里,每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终就会造成反序列化漏洞。
ShiroExp-1.3.1-all.jar shiro反序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro反序列化检测工具 我这里是用于搭建攻防演练演示环境用
shiro反序列化工具,加强版
12-27
在"shiro反序列化工具,加强版"这个主题中,我们主要关注的是Shiro框架中可能存在的反序列化漏洞以及如何利用和防范这些漏洞。 反序列化漏洞是由于程序在接收到网络传输的数据后,将其从二进制流恢复为对象时没有...
shiro反序列化脚本.zip
07-28
标题 "shiro反序列化脚本.zip" 指向的是一个与Apache Shiro安全框架相关的反序列化漏洞利用工具。Apache Shiro是一款广泛使用的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能。然而,在某些版本中,...
Java反序列化之Commons-Beanutils1链与无 commons-collections的Shiro反序列化利用
weixin_45682070的博客
02-11 1508
Apache Commons Beanutils 首先看一下 Commons Beanutils包,Apache Commons Beanutils 是 Apache Commons 工具集下的另一个项目,它提供了对普通Java类对象(也称为JavaBean)的一些操作方法。 JavaBean可以简单的理解为一个Java类对象。 commons-beanutils中提供了一个静态方法 PropertyUtils.getProperty ,让使用者可以直接调用任意JavaBean的getter方法,看面的de
shiro反序列化复现.zip
08-03
"shiro反序列化复现.zip"这个压缩包很可能是为了帮助开发者或者安全研究人员理解并重现Apache Shiro中的反序列化漏洞。 反序列化漏洞通常发生在程序接收来自不可信源的序列化对象时,如果这个对象包含了恶意构造的...
shiro反序列化搭建、利用、复现、漏洞原理
芜湖~米汤来喽~
01-07 1915
Shiro框架下框架供了记住密码的功能(RememberMe)用户登陆成功后会生成一个经过加密的Cookie其Cookie的RememberMe的Value的值是经过序列化、AES加密和base64编码后得到的结果。由于使用了AES加密,在Shiro1.2.4版本之前AES加密默认密钥的Base64编码值为kPH+bIxk5D2deZiIxcaaaA==,于是就可得到Payload的构造流程:恶意命令–>序列化–>AES加密–>base64编码–>发送Cookie–>回显数据–>数据解码。
shiro反序列化(CVE-2016-4437)
siu~
10-11 189
本文只聚焦于贴合实际情况下如何从黑盒角度发现漏洞到利用漏洞的一个完整流程。
Shiro反序列化漏洞利用详解(Shiro-550+Shiro-721)
小宇的web博客
02-05 7106
Shiro反序列化漏洞利用详解(Shiro-550+Shiro-721) Shiro简介 Apache Shiro 是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,Shiro框架直观、易用、同时也能提供健壮的安全性。 Apache Shiro反序列化漏洞分为两种:Shiro-550、Shiro-721 Shiro-550反序列漏洞 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对reme
若依低版本漏洞:shiro反序列化解决方式
weixin_43267639的博客
12-14 2327
在若依低版本中shiro可能会有反序列化的问题,因为是固定密钥的方式导致的。 解决方式如下: 1、升级shiro至最新版本 2、保持shiro版本不变
shiro反序列化漏洞的原理和复现
热门推荐
LJH1999ZN的博客
03-31 1万+
一、shiro简介 Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。Shiro首要的和最重要的目标就是容易使用并且容易理解。 二、shiro的身份认证工作流程 通过前端传入的值, 获取rememberMe cookie base64加密 AES加密 (对称加解密) 反序列化 三、shiro反序列化漏洞原理 AES加密的密钥Key被硬编码在代码里,意味着每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES
shiro反序列化原理
06-25
关于反序列化(Deserialization)原理,Shiro 并不是直接处理反序列化的,但其在处理JSON或XML等外部数据格式时,可能会涉及到与序列化相关的安全性考虑。 当Shiro从存储(如数据库或配置文件)加载配置信息时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

芝士土包鼠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值