记一次shiro反序列化漏洞验证的坑

最新推荐文章于 2024-03-14 20:59:53 发布
最新推荐文章于 2024-03-14 20:59:53 发布
阅读量753 收藏 1
点赞数
分类专栏: 挖洞 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45523692/article/details/115489359
版权

记一次shiro反序列化漏洞验证的坑

引言

工作中接触到shiro反序列化漏洞,看了看原理,

原理

Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。
那么,Payload产生的过程:
命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值
在整个漏洞利用过程中,比较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很容易就知道密钥了,Payload构造起来也是十分的简单。

影响版本

Apache Shiro < 1.2.4

特征判断

登录页面通常包含记住我的复选框,返回包中包含site-cookie:rememberMe=deleteMe字段。

过坑过程

发现可疑目标

目标网站
在这里插入图片描述
通过以上信息,结合shiro的特征,基本上漏洞就存在了。

脚本测试

github里找到了大神们的脚本,测试了半天,看提示应该是存在漏洞,但是key却没有拿到。
在这里插入图片描述
找到脚本大神请教,修改python脚本中默认的key值,把注释掉的key值全部恢复,重新跑一下脚本问题依然存在。
怎么办?
怎么办?好不容易发现个疑似漏洞却挖不出来。。。。

继续搞

在大神的提醒下,试试gcm工具,上网查了一下gcm是个啥?
shiro的升级版,大概意思是使用默认的key值了,而是使用加密后的key值,暂且这么理解吧,反正我也记不住了,需要时可以去查。

找到了一个脚本工具shiro-exploit-master,github链接:https://github.com/Ares-X/shiro-exploit

按照说明执行,结果,结果见下图:
在这里插入图片描述
成功执行任意代码。

yoko_0-1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
高版本AES-GCM模式加密的Shiro漏洞利用1
08-03
高版本AES-GCM模式加密的Shiro漏洞利用1
Apache Shiro Java反序列化漏洞复现-踩
飞鱼的企鹅的博客
09-29 9683
简介 这个漏洞属于java反序列化漏洞的一种,shiro是java的一个开发框架,能够快速的搭建好应用程序的环境。 影响版本 Apache Shiro <= 1.2.4 环境搭建 制作war包 首先,需要获取 Apache Shiro 存在漏洞的源代码,具体操作如下: git clone https://github.com/apache/shiro.git cd /shiro git ch...
Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞【原理扫描】
qq_46416934的博客
09-01 1197
系统将密钥硬编码在代码里,且在官方文档中并没有强调修改该密钥,导致框架使用者大多数都使用了默认密钥。检测漏洞ShiroConfig.java 是否包含 fCq+/xW488hMTCD+cmJ3aQ==,如果是使用的默认密钥则需要修改,防止被执行命令攻击。升级版本到 >=v.4.3.1(其实就是升级Shiro版本到1.7),并且重新生成一个新的秘钥替换cipherKey,保证唯一且不要泄漏。升级Shiro版本到 >=1.7,在调用的地方重新生成一个新的秘钥替换。都存在漏洞建议升级到shiro1.7版本。..
Shiro反序列化漏洞利用笔
文公子的博客
12-10 7232
Shiro反序列化漏洞利用笔 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。目前在Java web应用安全框架中,最热门的产品有Spring Security和Shiro,二者在核心功能上几乎差不多,但Shiro更加轻量级,使用简单、上手更快、学习成本低,所以Shiro的使用量一直高于Spring Security。产品用户量之高,一旦爆发漏洞波及范围相当广泛,研究相关漏洞是很有必要的。 一、Shiro反序列化漏洞 1.1 安全框架 Apache Sh
聊聊Shiro反序列化漏洞,以及内存马技术!
Karka_的博客
01-04 1191
0x01 Filter工作原理它与Servlet类似,也是由Servlet 容器进行调用和执行的,一般用于进行请求过滤,如权限控制编码/敏感过滤等等。当在 web.xml 注册了一个Filter来对某个Servlet程序进行拦截处理时,它可以决定是否将请求继续传递给Servlet程序,以及对请求和响应消息是否进行预修改。0x02 Filter 链在一个 Web 应用程序中可以注册多个Filter程序,每个 Filter 程序都可以对一个或一组Servlet程序进行拦截。
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Shiro反序列化漏洞检测工具
01-05
Apache Shiro是一款强大的Java安全框架,它为...通过了解Shiro反序列化漏洞的原理和防范措施,我们可以更好地保护我们的系统免受此类攻击。同时,使用提供的检测工具进行定期扫描,也能及时发现并修复潜在的安全隐患。
shiro反序列化漏洞检测工具,含链接教程
08-17
该压缩包文件包含的`shiro_tool.jar`很可能是一个专门用于检测Apache Shiro反序列化漏洞的工具。使用方法如描述所示,通过命令行输入`java -jar shiro_tool.jar`后跟目标服务器的URL,工具会尝试识别并测试该服务器...
Shiro反序列化漏洞Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 ... 反序列化漏洞是如何产生的?...
shiro反序列化测试工具.zip
06-04
在这个名为"shiro反序列化测试工具.zip"的压缩包中,包含的是用于检测Shiro框架是否存在反序列化漏洞的测试工具。这些工具可以帮助开发者或安全研究员识别并修复潜在的安全隐患,确保应用的安全性。 以下是关于...
Shiroexploit:Shiro命令执行工具
03-31
雷石安全实验室出品 Shiro命令执行工具V2.0 内置shiro 117个键 支持dnslog(ceye.io)查询检测,增加准确性 / *支持攻击利用。支持密钥与小工具自定义* / Shiro命令执行工具 V1.0提供默认的键的查询 摘取xray高级版xray利用链 100+个键已注释!!!!
Shiro_exploit:Apache Shiro Java反序列化漏洞的分析和利用
03-10
Apache Shiro Java反序列化进攻分析及利用 0x00项目地址 0x01概述 两者天被派去去护网&重保,态势感知报告了一条冰蝎的远程代码执行的纠正,在通过日志以及webshel​​l及相关信息,红队大概是通过shiro反序列化拿到主机权限,之前一大佬还特别分享过shiro反序列化断裂,还没来及研究就碰上了,。正好这个机会研究分析一波, 四郎用remembreme这个cookie的对用户进行鉴权,防止出现越权问题,它使用CookieRemembreMeManager这个类,对remebremecookie的键使用ObjectInputStream类进行序列化,然后对字符流进行用AES加密方式对其进行的base64编码,然后返回客户端remebremeCookie ,这其实是有问题的,shiro把其实aes的密钥硬编码在代码里的类,我们可以通过ysoserial这个的Common
aes加密iv是什么_高版本AESGCM模式加密的Shiro漏洞利用
weixin_39637363的博客
10-30 1965
Shiro 高版本加密方式下的漏洞利用加密方式的变化Shiro高版本加密方式从AES-CBC换成了AES-GCM,由于加密算法的变化导致用于攻击shiro-550的exp无法试用于新版Shiro加密模式的变化发生在针对Oracle Padding Attack的修复,1.4.2版本更换为了AES-GCM加密方式高版本的加密解密调用了AesCipherServiceAesCipherSer...
shiro反序列化漏洞简单理解
部分学习记录
04-02 254
炒冷饭,对shiro反序列漏洞的简单理解
Shiro高版本默认密钥的漏洞利用
12-10 6368
Shiro反序列化漏洞修复的过程中,如果仅进行Shiro的版本升级,而没有重新生成密钥,那么AES加密的默认密钥扔硬编码在代码里,仍然会存在反序列化风险。01、漏洞案例本案例引用的shi...
shiro默认密钥漏洞
weixin_45352420的博客
11-02 1183
使用shiro默认密钥的隐患
Apache Shiro-550反序列化漏洞分析
qq_61991235的博客
09-11 583
shrio550详细调试分析
Shiro反序列化漏洞Shiro-550反序列化漏洞复现
最新发布
人若无名,便可专心练剑
03-14 1323
Shiro-550反序列化漏洞大约在2016年就被披露了,但感觉直到近一两年,在各种攻防演练中这个漏洞才真正走进了大家的视野,Shiro-550反序列化应该可以算是这一两年最好用的RCE漏洞之一,原因有很多:Shiro框架使用广泛,漏洞影响范围广;攻击payload经过AES加密,很多安全防护设备无法识别/拦截攻击……
shiro反序列化漏洞验证
07-27
您好!对于Shiro反序列化漏洞验证,可以按照以下步骤进行: 1. 构建恶意的序列化对象:首先,您需要构建一个恶意的序列化对象,该对象可以触发Shiro反序列化漏洞。您可以使用一些常见的工具,如ysoserial或marshalsec,来生成恶意序列化对象。 2. 配置Shiro:接下来,您需要配置Shiro以使用相应的序列化器。在Shiro的配置文件中,确保将序列化器设置为使用Java原生的序列化器(如JavaSerializer)。 3. 运行测试:现在,您可以通过发送恶意的序列化对象来触发Shiro反序列化漏洞。这可能涉及到与目标应用程序进行通信,以发送恶意请求或数据包含恶意对象。 4. 观察结果:如果目标应用程序存在Shiro反序列化漏洞,那么在接收到恶意的序列化对象时,可能会触发远程代码执行或其他不当行为。您可以观察目标应用程序的行为,以确定是否成功验证漏洞。 请注意,进行漏洞验证时需要遵守相关法律法规,并且仅在授权范围内进行测试。同时,确保在验证过程中不会对目标应用程序造成任何损害。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值