shiro框架反序列化漏洞(CVE-2016-4437)复现

于 2024-04-17 08:57:54 发布
阅读量218 收藏 3
点赞数 7
文章标签: 安全 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_60830484/article/details/137855007
版权

本次为CVE-2016-4437反序列化漏洞复现,shiro框架版本为1.2.4
声明:本次实验仅供学习使用,如有恶意利用后果由使用者承担!!!

什么是shiro框架?
Apache Shiro是一个强大且易用的Java安全框架,它执行身份验证、授权、密码和会话管理,提供了一套完整的、通用的安全认证框架。

如何识别shiro框架?
返回包中含有rememberMe=deleteMe字段

漏洞原理
Shiro默认使用了CookieRememberMeManager, 其处理cookie的流程是: 得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化.然而AES的密钥是硬编码的, 密钥泄漏的根本原因是开发人员在开发过程中部分代码直接使用了网上的一些开源的项目代码,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。Apache Shiro框架提供了记住我的功能(RemeberMe),⽤户登录成功后会⽣成经过加密并编码的cookie。简单来说就是:因为Shiro在处理cookie时,会按照预定的流程(Base64解码->AES解密->反序列化)来尝试解析cookie中的数据。如果攻击者能够构造出符合这个流程的恶意数据(即使AES解密失败),并且这个数据在反序列化过程中能够触发漏洞,那么攻击仍然成功。

开始复现
本次复现环境依旧使用vulhub靶场进行环境搭建,搭建好的页面如下

bp抓包进行分析

这里直接使用shiro识别工具进行攻击测试

由于是基于靶场环境,所执行的命令结果都基于靶场中,因此ls的结果并不是本机的文件,而是搭建好的vulhub靶场文件,shiro(CVE-2016-4437)框架反序列化漏洞复现成功

嘉子学安全
关注
  • 7
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2016-4437 Shiro反序列化漏洞复现
weixin_45260839的博客
05-15 2764
CVE-2016-4437 Shiro反序列化漏洞复现
ShiroExp-1.3.1-all.jar shiro反序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro反序列化检测工具 我这里是用于搭建攻防演练演示环境用
shiro反序列化漏洞修复(使用随机密钥)
m0_67400973的博客
03-28 2488
说明:shiro版本使用固定默认密钥,有被攻击的风险,可以升级shiro版本,Apache官方已在1.2.5及以上版本修复漏洞,但是此方式有依赖冲突的风险。这里说说不升级版本的解决方案,这方案和官方的方案一样,都是使用生成的随机密钥 1、创建随机生成密钥工具 public class GenerateCipherKey { /** * 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNe
shiro反序列化漏洞(CVE-2016-4437)漏洞复现
HEAVEN569的博客
06-21 4146
本文对shiro反序列化漏洞(CVE-2016-4437),进行了分析复现,介绍了利用工具和常规修复方法
详细shiro漏洞复现及利用方法(CVE-2016-4437
热门推荐
dreamthe的博客
04-26 2万+
该篇文章比较详细的介绍shiro漏洞利用,无论是shiro漏洞图形化工具利用,还是shiro漏洞结合JRMP我觉得比大多数文章都详细,如果你对网上结合JRMP反弹shell不是很明白,非常推荐来看看这篇文章。另外漏洞利用工程中用到的工具以及代码都上传到百度网盘,供大家使用,在文章最后哦。
Shiro-550反序列化漏洞CVE-2016-4437复现
柠檬i的博客
06-28 1255
shiro框架提供了如记住密码的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64编码然后AES解密再反序列化,就导致了反序列化RCE漏洞
Apache Shiro反序列化CVE-2016-4437漏洞复现
m0_55854679的博客
07-31 726
Apache shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。使用Java序列化—>使用密钥进行AES加密—>Base64加密—>得到加密后的RememberMe内容同时在识别用户身份的时候,需要对RememberMe加密内容—>Base64解密—>使用密钥进行AES解密—>Java反序列化问题出在AES加密的密钥Key被硬编码在代码里,这意味着攻击者只要通过源代码找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化,的将。..
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle 漏洞利用
03-29
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle Shiro721 RememberMe Padding Oracle影响版本: - Apache Shiro 1.2.5,1.2.6,1.3.0,1.3.1,1.3.2,1.4.0-RC2,1.4.0,1.4.1 CVE-2016-4437 ...
Apache Shiro身份验证绕过漏洞(CVE-2020-13933)
07-17
直接使用java -jar srping....war命令运行即可 执行之后,访问http://主机的IP:8888/admin/*或者http://主机的IP:8888/login
shiro反序列化工具,加强版
12-27
在"shiro反序列化工具,加强版"这个主题中,我们主要关注的是Shiro框架中可能存在的反序列化漏洞以及如何利用和防范这些漏洞反序列化漏洞是由于程序在接收到网络传输的数据后,将其从二进制流恢复为对象时没有...
shiro反序列化复现.zip
08-03
Apache Shiro在过去的版本中确实存在过这样的漏洞,例如CVE-2016-4437,攻击者可以利用此漏洞通过精心构造的序列化数据触发代码执行。 这个复现工具包可能包括以下内容: 1. **PoC(Proof of Concept)代码**:这...
Shiro反序列化漏洞检测及修复(工具分享)
weixin_46418540的博客
10-12 1万+
写在前面 这篇博文主要解决于一些朋友为了修复反序列化漏洞,根据某些帖子的内容升级了shiro版本,或者采用了随机生成key的方式后,不知道是否管用。特地写下一篇记录,分享一个检测工具。 我在之前项目中碰到了这个问题,由于shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 在此特别感谢其作者 feihong飞鸿。 下载地址 https://github.com/feihong-cs/S
[CVE-2016-4437] Apache Shiro 安全框架反序列化漏洞复现与原理详细分析
Specif1c的博客
10-21 4930
Apache Shiro是一个强大且易用的 Java安全框架,执行身份验证、授权、密码和会话管理。shiro 相比于 springsecurity 简单许多,官方号称 10 分钟就能学会。shiro 反序列化漏洞是 Java 经典漏洞,于2016年被挖掘出来,到现在依旧很多系统存在该漏洞,非常值得学习,对加深 shiro 认证机制的理解以及java代码审计颇有帮助。
shiro反序列化漏洞复现(CVE-2016-4437)
huangyongkang666的博客
04-14 3626
shiro反序列化漏洞复现(CVE-2016-4437) 1.漏洞简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro易于理解的API,开发者可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序 漏洞原理: 在Shiro <= 1.2.4中,反序列化过程中所用到的AES加密的key是硬编码在源码中,当用户勾选RememberMe并登录成功,Shiro会将用户的cookie值序列化,AES加密,接着base64编
Java项目中修复Apache Shiro 默认密钥致命令执行漏洞CVE-2016-4437)详细说明
一火的专栏
11-18 9832
目录 1.漏洞说明 1.1阿里云漏洞短信内容 1.2阿里云漏洞详细报告 2.详细修复步骤 2.1下载漏洞验证工具 3.Java项目修改 3.1修改前注意事项 3.2Jar包准备 3.3增加一个自定义秘钥代码 3.4修改shiro配置 3.5修复漏洞检测结果 4.常见问题 4.1Unsupported major.minor version 52.0 4.2org.springframework.web.servlet.mvc.annotation.AnnotationM..
Apache shiro反序列化CVE-2016-4437复现
weixin_49848824的博客
07-09 827
一、原理分析Shiro提供了记住我(RememberMe)的功能,比如访问淘宝等网站时,关闭了浏览器下次再打开时还是能够记住上次访问过的用户,下次访问时无需再登录即可访问Shiro会对cookie中的Remember me字段进行相关处理:序列化-->AES加密-->base64编码由于Shiro本身含有一个预设的AES密钥Base64.decode("KPHblxk5D2deZilxcaaaA=="),每个人都能够通过源代码拿到该密钥,因此攻击者可以构造一个恶意的对象,对其进行序列化并用该密钥进行加密,b
shiro CVE-2016-4437 漏洞复现
qq_40646572的博客
05-09 857
shiro550漏洞漏洞点就在于用户信息反序列化可利用,并且加密的key值给了一个固定的默认值的,导致很多开发人员直接使用,接着导致了洞的产生。
(CVE-2016-4437) Apache Shiro 反序列化漏洞 复现
m0_58687645的博客
02-08 3191
一、漏洞描述 Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致反序列化漏洞。 二、漏洞影响 只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致反序列化漏洞。 三、环境搭建 cd CVE-2016-4437/ docker-compose up -d 四、漏洞复现 访问靶机ip 使用工具进行半自动化注入检测 shell成功写入,使用冰蝎.
CVE-2016-4437
最新发布
08-14
CVE-2016-4437是关于Apache Shiro的一个安全漏洞。这个漏洞允许攻击者在受影响的应用程序上执行远程代码执行攻击,进而获得系统访问权限。在此漏洞中,攻击者可以通过反序列化攻击利用Shiro的RememberMe功能,从而执行恶意代码。在早于1.2.4版本Shiro中,默认使用的是一个固定的AES密钥,攻击者可以使用已知的密钥来反序列化执行恶意代码。 要利用这个漏洞,攻击者可以使用Python脚本或在线工具生成反弹shell的命令,然后将其执行在目标服务器上。这样,攻击者就能够执行任意命令并与攻击机建立一个反向连接。 需要注意的是,利用CVE-2016-4437漏洞进行攻击是非法的,并且可能导致严重的安全后果。为了防止此类漏洞的利用,建议及时更新Shiro版本,并采取其他安全措施,如限制网络访问和使用强密码保护系统。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Apache Shiro 1.2.4 反序列化漏洞(CVE-2016-4437 )](https://blog.csdn.net/weixin_60329395/article/details/127399081)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值