Apache Shiro 默认密钥致命令执行漏洞(反序列化攻击)

最新推荐文章于 2024-08-22 11:33:31 发布
最新推荐文章于 2024-08-22 11:33:31 发布
阅读量3k 收藏 7
点赞数
分类专栏: shiro 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42845320/article/details/118198211
版权
本文介绍了如何修复阿里云警告的老项目中的Shiro远程命令执行漏洞。修复步骤包括升级Shiro至1.7.1,更新相关依赖,修改默认密钥并调整配置。同时,解决了因JDK版本不匹配、Spring组件报错及缺少owasp.encoder库导致的问题。
摘要由CSDN通过智能技术生成

一、漏洞说明

最近阿里云发了漏洞短信,需要在已有的老项目中修复shiro远程命令执行漏洞,并修复了2套Java项目,不同项目修复方式有所不同,特写此篇博客,以作备忘,欢迎大家留言讨论。

1.1 漏洞描述

漏洞名称:
远程命令执行,利用漏洞能够获取系统权限,查看、篡改系统数据,构成信息泄露和运行安全风险

1.2 处置措施建议

针对远程命令执行漏洞,升级Shiro至最新版本,并且重新生成一个新的秘钥替换ciperKey,保证唯一且不要泄密;

二、漏洞修复过程

2.1 修改前事项

shiro需要升级到1.7.1
shiro1.7.1的spring相关jar要求在4.0版本以上
spring4.0以上版本要求jdk1.8.0以上

2.2 maven坐标更新

原有版本是1.3.1升级至最新版本1.7.1,坐标如下。

		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-core</artifactId>
			<!--<version>1.3.1</version>-->
			<version>1.7.1</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<!--<version>1.3.1</version>-->
			<version>1.7.1</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-ehcache</artifactId>
			<!--<version>1.3.1</version>-->
			<version>1.7.1</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-web</artifactId>
			<!--<version>1.3.1</version>-->
			<version>1.7.1</version>
		</dependency>
		<dependency>
			<groupId>org.owasp.encoder</groupId>
			<artifactId>encoder</artifactId>
			<version>1.2.2</version>
		</dependency>
		<dependency>
		    <groupId>net.sf.ehcache</groupId>
		    <artifactId>ehcache</artifactId>
		    <version>2.10.3</version>
		</dependency>

2.3 配置修改过程

修改默认秘钥为随机秘钥并修改shiro配置

    @Bean(name="rememberMeManager")
	public RememberMeManager rememberMeManager() {
	    CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
	    cookieRememberMeManager.setCookie(rememberMeCookie());
	    cookieRememberMeManager.setCipherKey(Base64.decode(generateNewKey()));
	    return cookieRememberMeManager;
	}
	@Bean(name="rememberMeCookie")
	public Cookie rememberMeCookie() {
		SimpleCookie cookie = new SimpleCookie("rememberMe");
		cookie.setMaxAge(1209600);
		return cookie;
	}
	//随机秘钥生成
	 public static byte[] generateNewKey() {
	        KeyGenerator kg;
	        try {
	            kg = KeyGenerator.getInstance("AES");
	        } catch (NoSuchAlgorithmException var5) {
	            String msg = "Unable to acquire AES algorithm.  This is required to function.";
	            throw new IllegalStateException(msg, var5);
	        }
	  
	        kg.init(128);
	        SecretKey key = kg.generateKey();
	        byte[] encoded = key.getEncoded();
	        return encoded;
	    }

2.4 工具扫描过程

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
默认为kPH+bIxk5D2deZiIxcaaaA==,成功

3 常见问题

3.1 Unsupported major.minor version 52.0

【现象】
java.lang.UnsupportedClassVersionError: org/apache/shiro/crypto/AbstractSymmetricCipherService : Unsupported major.minor version 52.0
    at java.lang.ClassLoader.defineClass1(Native Method)
    at java.lang.ClassLoader.defineClass(ClassLoader.java:800)
    at java.security.SecureClassLoader.defineClass(SecureClassLoader.java:142)
    at java.net.URLClassLoader.defineClass(URLClassLoader.java:449)
    at java.net.URLClassLoader.access$100(URLClassLoader.java:71)
    at java.net.URLClassLoader$1.run(URLClassLoader.java:361)
    at java.net.URLClassLoader$1.run(URLClassLoader.java:355)
    at java.security.AccessController.doPrivileged(Native Method)
    at java.net.URLClassLoader.findClass(URLClassLoader.java:354)
    at java.lang.ClassLoader.loadClass(ClassLoader.java:425)
    at sun.misc.Launcher$AppClassLoader.loadClass(Launcher.java:308)
    at java.lang.ClassLoader.loadClass(ClassLoader.java:358)

【解决方法】JDK更换为JDK1.8

详细描述如下:
当改变了jdk版本时,在编译java时,会遇到Unsupported major.minor version错误。
jdk版本和stanford parser对应关系
JDK版本和Java编译器内部的版本号
J2SE 8 = 52,
J2SE 7 = 51,
J2SE 6.0 = 50,
J2SE 5.0 = 49,
JDK 1.4 = 48,
JDK 1.3 = 47,
JDK 1.2 = 46,
JDK 1.1 = 45

3.2org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter报错

【解决方法】

<bean class="org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter">
修改为:
<bean class="org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter">

3.3 java.lang.NoClassDefFoundError: org/owasp/encoder/Encode

【现象】

java.lang.NoClassDefFoundError: org/owasp/encoder/Encode
    org.apache.shiro.web.filter.PathMatchingFilter.pathsMatch(PathMatchingFilter.java:134)
    org.apache.shiro.web.filter.PathMatchingFilter.preHandle(PathMatchingFilter.java:186)
    org.apache.shiro.web.servlet.AdviceFilter.doFilterInternal(AdviceFilter.java:131)
    org.apache.shiro.web.servlet.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:125)
    org.apache.shiro.web.servlet.ProxiedFilterChain.doFilter(ProxiedFilterChain.java:66)
    org.apache.shiro.web.servlet.AbstractShiroFilter.executeChain(AbstractShiroFilter.java:4
【解决方法】
添加 encoder-1.2.2.jar
轻雨黯然
关注
专栏目录
Apache Shiro反序列化攻击技术剖析与防护研判分析
不忘初心,护天下安全!
08-11 1387
攻击者确可利用漏洞制造具有威胁的请求内容,防守者亦可利用默认密钥和Gadget进行解密尝试,且一定可以解密成功,直接分析编码前的内容是否是渗透所用payload;攻击者使用Fuzzing测试的思路,直接制造无效的危险请求内容,防守者亦可利用默认密钥和Gadget进行解密尝试,且一定可以解密成功,直接分析编码前的内容是否是渗透所用payload。尽管rememberMe字段参数值是一串AES加密后的结果,但因为攻击者利用的漏洞原理是“公开的算法+默认密钥”,则以其之道还施彼身即可。...
Apache Shiro<=1.2.4反序列化RCE漏洞
墨痕诉清风的博客
10-09 1286
因为shiro对cookie里的rememberme字段进行了反序列化,所以如果知道了shiro的编码方式,然后将恶意命令用它的编码方式进行编码并放在http头的cookie里,在shiro对提交的cookie的rememberme字段进行反序列化时,也就执行了插入的命令,最终造成了命令执行Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。,已经有人准备好了的。...
Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)【远程扫描】
DK_ajie的博客
02-24 5304
漏洞详情 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。攻击者可以使用Shiro默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 目标IP站点存在Apache shiro 已知密钥泄露导致的远程代码执行漏洞。通过查找项目源码发现,在shiro的配置文件里,确实写死了一个秘钥,在开发环境的中不建议直接写死秘钥,大家要引以为戒! 后面通过源码分析,发现了shiro有自己的随机生成秘钥的方法。既然找到的方法,那
Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)
热门推荐
yuguang的博客
11-17 1万+
目录 一.情况描述 1.漏洞描述 2.漏洞造成的影响 3.安全建议 4.技术参考 5.建设方案 6.漏洞证明 测试结果 二.springmvc修改 1.修改pom.xml配置 2.增加一个自定义秘钥代码 3.修改shiro配置 4.修改完之后测试 一.情况描述 1.漏洞描述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 2.漏洞造成的影响 在配置了默认密钥的情况下,攻击者可以通过精心构造的 Payload 实现远.
38_渗透测试报告分析_副本、shiro反序列化漏洞介绍
最新发布
weixin_54591045的博客
08-22 861
渗透测试报告分析_副本、shiro反序列化漏洞介绍
Spring Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)问题解决
北巷东东的专栏
11-19 3647
最近阿里云发了漏洞短信,需要在以后的老项目中修复漏洞,不同项目修复方式有所不同,特写此篇博客记录。 先说下,我们老项目用的shiro版本号是1.2.4,对应spring版本为4.x 漏洞 漏洞详细报告 OK,我们了解到报告的具体内容了,那接下来,我们分析下怎么修复 漏洞检测工具 下载地址和使用说明: https://github.com/wyzxxz/shiro_rce 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 下载下来是这样
Apache Shiro _= 1.2.4 默认密钥导致命令执行漏洞(CVE-2016-4437)
qq_69432323的博客
07-23 412
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
Shiro接收到这个Cookie并尝试解密和反序列化数据时,就会执行攻击者精心设计的代码,从而导致反序列化漏洞。 受影响的版本仅限于Apache Shiro 1.2.4及以下。为了修复这个问题,Shiro在1.2.4之后的版本中引入了...
Apache-Shiro反序列化1
08-03
Apache Shiro 反序列化漏洞...Apache Shiro反序列化漏洞是一个严重的安全漏洞攻击者可以利用该漏洞在服务器上执行恶意命令。为了防止该漏洞,需要升级 Apache Shiro 到 1.2.5 及以上版本,并采取其他安全措施。
Apache Shiro 1.2.4反序列化漏洞(Shiro-550)--Shiro rememberMe反序列化漏洞(CVE-2016-4437)
薛定谔嘚喵博客
05-10 1661
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令
Apache Shiro 默认密钥命令执行漏洞
Loveme_CN的博客
11-18 5441
Apache Shiro 默认密钥命令执行漏洞1、 漏洞描述:2、漏洞特征:3、修复建议:4、修复过程JAR包升级修复RemberMe功能 今天登录服务器上面提示有漏洞提示:Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)【远程扫描】,接下来吾爱编程为大家介绍一下Apache Shiro 默认密钥命令执行漏洞的修复方法,有需要的小伙伴可以参考一下 1、 漏洞描述: Apache Shiro 是ASF旗下的一款开源软件,它提供了一个强大而灵活的安全框架,提供身份验证、授权、
ShiroApache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)的解决方案
No8g攻城狮的博客
12-07 5278
Apache Shiro 默认密钥命令执行漏洞(CVE-2016-4437)的解决方案
Apache Shiro 默认密钥命令执行漏洞复现
Je3Z的博客
07-03 978
emmmmmmmmm…怎么开头。。。。。。。。。。。 大师傅出了个题,就直接用题打shiro复现一下这个漏洞吧,嘻嘻 借用大师傅的话 shiro反序列化原理就是用shiro密钥默认不变,我们能拿它密钥去AES加密序列化数据,然后在它Cookie的rememberMe字段反序列化来RCE的 Shiro框架存在默认密钥:kPH+bIxk5D2deZiIxcaaaA== java -jar shiro_attack-2.0.jar 利用链和回显方式都用第一个,然后检测当前利用链。(上图回显则为可用的) 然
Shiro反序列化漏洞利用笔记
文公子的博客
12-11 688
Shiro反序列化漏洞利用笔记 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。目前在Java web应用安全框架中,最热门的产品有Spring Security和Shiro,二者在核心功能上几乎差不多,但Shiro更加轻量级,使用简单、上手更快、学习成本低,所以Shiro的使用量一直高于Spring Security。产品用户量之高,一旦爆发漏洞波及范围相当广泛,研究相关漏洞是很有必要的。 一、Shiro反序列化漏洞 1.1 安全框架 Apache S
shiro默认密钥漏洞
weixin_45352420的博客
11-02 1244
使用shiro默认密钥的隐患
Spring Boot项目Shiro1.7.1版本默认密钥漏洞
UDWORLD的博客
09-06 3182
Shiro1.7.1版本默认密钥漏洞
Spring Apache Shiro 默认密钥命令执行漏洞及解决方案
liqiang_8257的博客
04-08 4930
最近阿里云发了漏洞短信,需要在以后的老项目中修复漏洞,不同项目修复方式有所不同 漏洞检测工具 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 如图: OK,检测漏洞: 这样,我们看到了,检测到了使用默认shiro密钥 解决方案: 每个项目的情况都可能不一样,所以有不同的解决办法。 现象: 使用的是springmvc,shiro1.2.4,spring 4.2.5 shiro默认的安全管理器使用了默认的shi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值