Apache Shiro 默认密钥致命令执行漏洞(反序列化攻击)

最新推荐文章于 2024-06-12 14:42:15 发布
最新推荐文章于 2024-06-12 14:42:15 发布
阅读量2.8k 收藏 7
点赞数
分类专栏: shiro 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42845320/article/details/118198211
版权

一、漏洞说明

最近阿里云发了漏洞短信,需要在已有的老项目中修复shiro远程命令执行漏洞,并修复了2套Java项目,不同项目修复方式有所不同,特写此篇博客,以作备忘,欢迎大家留言讨论。

1.1 漏洞描述

漏洞名称:
远程命令执行,利用漏洞能够获取系统权限,查看、篡改系统数据,构成信息泄露和运行安全风险

1.2 处置措施建议

针对远程命令执行漏洞,升级Shiro至最新版本,并且重新生成一个新的秘钥替换ciperKey,保证唯一且不要泄密;

二、漏洞修复过程

2.1 修改前事项

shiro需要升级到1.7.1
shiro1.7.1的spring相关jar要求在4.0版本以上
spring4.0以上版本要求jdk1.8.0以上

2.2 maven坐标更新

原有版本是1.3.1升级至最新版本1.7.1,坐标如下。

		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-core</artifactId>
			<!--<version>1.3.1</version>-->
			<version>1.7.1</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<!--<version>1.3.1</version>-->
			<version>1.7.1</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-ehcache</artifactId>
			<!--<version>1.3.1</version>-->
			<version>1.7.1</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-web</artifactId>
			<!--<version>1.3.1</version>-->
			<version>1.7.1</version>
		</dependency>
		<dependency>
			<groupId>org.owasp.encoder</groupId>
			<artifactId>encoder</artifactId>
			<version>1.2.2</version>
		</dependency>
		<dependency>
		    <groupId>net.sf.ehcache</groupId>
		    <artifactId>ehcache</artifactId>
		    <version>2.10.3</version>
		</dependency>

2.3 配置修改过程

修改默认秘钥为随机秘钥并修改shiro配置

    @Bean(name="rememberMeManager")
	public RememberMeManager rememberMeManager() {
	    CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
	    cookieRememberMeManager.setCookie(rememberMeCookie());
	    cookieRememberMeManager.setCipherKey(Base64.decode(generateNewKey()));
	    return cookieRememberMeManager;
	}
	@Bean(name="rememberMeCookie")
	public Cookie rememberMeCookie() {
		SimpleCookie cookie = new SimpleCookie("rememberMe");
		cookie.setMaxAge(1209600);
		return cookie;
	}
	//随机秘钥生成
	 public static byte[] generateNewKey() {
	        KeyGenerator kg;
	        try {
	            kg = KeyGenerator.getInstance("AES");
	        } catch (NoSuchAlgorithmException var5) {
	            String msg = "Unable to acquire AES algorithm.  This is required to function.";
	            throw new IllegalStateException(msg, var5);
	        }
	  
	        kg.init(128);
	        SecretKey key = kg.generateKey();
	        byte[] encoded = key.getEncoded();
	        return encoded;
	    }

2.4 工具扫描过程

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
默认为kPH+bIxk5D2deZiIxcaaaA==,成功

3 常见问题

3.1 Unsupported major.minor version 52.0

【现象】
java.lang.UnsupportedClassVersionError: org/apache/shiro/crypto/AbstractSymmetricCipherService : Unsupported major.minor version 52.0
    at java.lang.ClassLoader.defineClass1(Native Method)
    at java.lang.ClassLoader.defineClass(ClassLoader.java:800)
    at java.security.SecureClassLoader.defineClass(SecureClassLoader.java:142)
    at java.net.URLClassLoader.defineClass(URLClassLoader.java:449)
    at java.net.URLClassLoader.access$100(URLClassLoader.java:71)
    at java.net.URLClassLoader$1.run(URLClassLoader.java:361)
    at java.net.URLClassLoader$1.run(URLClassLoader.java:355)
    at java.security.AccessController.doPrivileged(Native Method)
    at java.net.URLClassLoader.findClass(URLClassLoader.java:354)
    at java.lang.ClassLoader.loadClass(ClassLoader.java:425)
    at sun.misc.Launcher$AppClassLoader.loadClass(Launcher.java:308)
    at java.lang.ClassLoader.loadClass(ClassLoader.java:358)

【解决方法】JDK更换为JDK1.8

详细描述如下:
当改变了jdk版本时,在编译java时,会遇到Unsupported major.minor version错误。
jdk版本和stanford parser对应关系
JDK版本和Java编译器内部的版本号
J2SE 8 = 52,
J2SE 7 = 51,
J2SE 6.0 = 50,
J2SE 5.0 = 49,
JDK 1.4 = 48,
JDK 1.3 = 47,
JDK 1.2 = 46,
JDK 1.1 = 45

3.2org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter报错

【解决方法】

<bean class="org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter">
修改为:
<bean class="org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter">

3.3 java.lang.NoClassDefFoundError: org/owasp/encoder/Encode

【现象】

java.lang.NoClassDefFoundError: org/owasp/encoder/Encode
    org.apache.shiro.web.filter.PathMatchingFilter.pathsMatch(PathMatchingFilter.java:134)
    org.apache.shiro.web.filter.PathMatchingFilter.preHandle(PathMatchingFilter.java:186)
    org.apache.shiro.web.servlet.AdviceFilter.doFilterInternal(AdviceFilter.java:131)
    org.apache.shiro.web.servlet.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:125)
    org.apache.shiro.web.servlet.ProxiedFilterChain.doFilter(ProxiedFilterChain.java:66)
    org.apache.shiro.web.servlet.AbstractShiroFilter.executeChain(AbstractShiroFilter.java:4
【解决方法】
添加 encoder-1.2.2.jar
轻雨黯然
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)问题解决
北巷东东的专栏
11-19 3582
最近阿里云发了漏洞短信,需要在以后的老项目中修复漏洞,不同项目修复方式有所不同,特写此篇博客记录。 先说下,我们老项目用的shiro版本号是1.2.4,对应spring版本为4.x 漏洞 漏洞详细报告 OK,我们了解到报告的具体内容了,那接下来,我们分析下怎么修复 漏洞检测工具 下载地址和使用说明: https://github.com/wyzxxz/shiro_rce 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 下载下来是这样
Spring Apache Shiro 默认密钥命令执行漏洞及解决方案
liqiang_8257的博客
04-08 4598
最近阿里云发了漏洞短信,需要在以后的老项目中修复漏洞,不同项目修复方式有所不同 漏洞检测工具 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 如图: OK,检测漏洞: 这样,我们看到了,检测到了使用默认shiro密钥 解决方案: 每个项目的情况都可能不一样,所以有不同的解决办法。 现象: 使用的是springmvc,shiro1.2.4,spring 4.2.5 shiro默认的安全管理器使用了默认的shi
Shiro有key但无回显利用链子-JRMP大法
最新发布
希望我的博客,能帮上你解决学习中工作中所遇到的问题
06-12 1108
shiro在手天下我有,扫出key直接梭哈getshell,横扫内网。但要是像这种情况,直接下班拜拜跑路,没有链子玩毛线…直到出现了这么一个工具可以通过JRMP协议探测是否存在漏洞,很显然上面工具是做不到的,实战中很可能因此丢掉一个shell。
Spring Boot项目Shiro1.7.1版本默认密钥漏洞
UDWORLD的博客
09-06 3049
Shiro1.7.1版本默认密钥漏洞
Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)【远程扫描】
DK_ajie的博客
02-24 5216
漏洞详情 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。攻击者可以使用Shiro默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 目标IP站点存在Apache shiro 已知密钥泄露导致的远程代码执行漏洞。通过查找项目源码发现,在shiro的配置文件里,确实写死了一个秘钥,在开发环境的中不建议直接写死秘钥,大家要引以为戒! 后面通过源码分析,发现了shiro有自己的随机生成秘钥的方法。既然找到的方法,那
springboot shiro默认密钥致命漏洞 修复
m0_67392931的博客
04-08 907
第三方给系统做检测时发现shiro默认密钥致命漏洞,提醒要修改,查了资料,已经修复,有需要交流,请联系Q 1766168900 原因在这里 更新配置文件后,正常
Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)
热门推荐
yuguang的博客
11-17 1万+
目录 一.情况描述 1.漏洞描述 2.漏洞造成的影响 3.安全建议 4.技术参考 5.建设方案 6.漏洞证明 测试结果 二.springmvc修改 1.修改pom.xml配置 2.增加一个自定义秘钥代码 3.修改shiro配置 4.修改完之后测试 一.情况描述 1.漏洞描述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 2.漏洞造成的影响 在配置了默认密钥的情况下,攻击者可以通过精心构造的 Payload 实现远.
Apache-Shiro反序列化1
08-03
Apache Shiro 反序列化漏洞...Apache Shiro反序列化漏洞是一个严重的安全漏洞攻击者可以利用该漏洞在服务器上执行恶意命令。为了防止该漏洞,需要升级 Apache Shiro 到 1.2.5 及以上版本,并采取其他安全措施。
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
Shiro接收到这个Cookie并尝试解密和反序列化数据时,就会执行攻击者精心设计的代码,从而导致反序列化漏洞。 受影响的版本仅限于Apache Shiro 1.2.4及以下。为了修复这个问题,Shiro在1.2.4之后的版本中引入了...
061-Apache Shiro 反序列化之殇.pdf
09-20
在环境准备就绪后,攻击者可以尝试创建能够触发反序列化漏洞的恶意输入,模拟Cookie的数据结构,并利用Shiro默认加密密钥来解密和反序列化数据。一旦成功,攻击者就可以在受害者的系统上执行任意命令,从而可能...
Shiro反序列化流量分析.pdf
05-10
手工解密Shiro反序列化攻击流量的关键在于正确地还原AES解密流程,包括理解密文的结构,提取IV和密钥,然后使用对应的加密库进行解密。CyberChef等在线工具可以帮助进行这个过程。 检测Shiro反序列化漏洞的工具,如...
第03篇:Shiro 反序列化漏洞利用汇总1
08-03
攻击者可以创建一个经过特殊构造的RememberMe cookie,这个cookie包含了序列化的对象,当Shiro在服务器端反序列化时,恶意代码将被执行。 1.2 影响版本: Apache Shiro低于1.2.4的版本都受到此漏洞的影响。 ...
shiro默认密钥漏洞
weixin_45352420的博客
11-02 1159
使用shiro默认密钥的隐患
初始shiro
weixin_45750514的博客
10-12 646
Apache ShiroJava 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证(登录)、授权(角色,权限)、加密(pass加密)、会话管理、与Web 集成、缓存等。 package com.xiexin.shiroTest; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.Incorre
ShiroApache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)的解决方案
No8g攻城狮的博客
12-07 5090
Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)的解决方案
apache shiro 反序列化漏洞解决方案
qq_36407469的博客
07-27 5191
一、反序列化漏洞介绍 序列化:把对象转换为字符串或者字节流的过程。 反序列化:把字符串或者字节流恢复为对象的过程。 反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。 二、产生原因 shiro提供了记住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能记住你是谁,无需登录即可访问。 shiro默认使用了CookieRememberMeMa
spring-boot集成shiro的步骤及代码解析
xiguabobo2的博客
09-15 1155
安全框架 shiro a. 功能 ⅰ. authc 认证 验证用户是否为合法用户 ⅱ. authz 授权 验证某个用户是否有权限访问某个资源 ⅲ. session management 会话管理 管理特定用户的会话,在普通java项目中模拟httpsession的效果 ⅳ. Cryptography 加解密 使用加密算法确保数据安全,同时仍然易于使用。 ⅴ. 支持web ⅵ. 支持缓存 ⅶ. 并发支持 ⅷ. 支持测试
Shiro反序列化漏洞利用笔记
文公子的博客
12-11 636
Shiro反序列化漏洞利用笔记 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。目前在Java web应用安全框架中,最热门的产品有Spring Security和Shiro,二者在核心功能上几乎差不多,但Shiro更加轻量级,使用简单、上手更快、学习成本低,所以Shiro的使用量一直高于Spring Security。产品用户量之高,一旦爆发漏洞波及范围相当广泛,研究相关漏洞是很有必要的。 一、Shiro反序列化漏洞 1.1 安全框架 Apache S
shiro反序列化漏洞修复(使用随机密钥
m0_67391121的博客
08-24 1186
说明:shiro低版本使用固定默认密钥,有被攻击的风险,可以升级shiro版本,Apache官方已在1.2.5及以上版本中修复此漏洞,但是此方式有依赖冲突的风险。这里说说不升级版本的解决方案,这方案和官方的方案一样,都是使用生成的随机密钥。2、配置shiro安全管理器,使用密钥生成工具生成的随机密钥。1、创建随机生成密钥工具。
apache shiro反序列化
08-14
Apache Shiro在早期版本中存在一个反序列化漏洞(CVE-2016-4437),攻击者可以利用该漏洞执行任意代码。这个漏洞是由于Shiro在处理Subject对象的序列化和反序列化过程中存在安全问题而引起的。 为了防止这种漏洞的利用,建议升级到Apache Shiro的最新版本。最新版本中已经修复了这个问题,并增加了安全性的改进。 此外,为了提高应用程序的安全性,还应该采取以下措施: 1. 永远不要信任来自用户的反序列化数据。在反序列化之前,应该对数据进行严格的验证和过滤。 2. 避免在Shiro的Subject对象中包含敏感数据。如果需要存储敏感数据,则应使用安全的加密算法对其进行加密处理。 3. 对于已知的可信任的序列化对象,可以使用白名单机制限制反序列化的类。 4. 定期检查和更新依赖库,确保使用的库没有已知的安全漏洞。 总之,保持Shiro框架和相关库的最新版本,并采取必要的安全措施,可以帮助防止Apache Shiro反序列化漏洞的利用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值