shiro反序列化漏洞的初级理解

最新推荐文章于 2025-10-21 11:55:20 发布
原创 最新推荐文章于 2025-10-21 11:55:20 发布 · 805 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #shiro #安全漏洞

本文深入探讨了Apache Shiro框架的rememberMe功能及其潜在的安全风险。当Shiro版本低于1.2.4时,由于AES加密key的硬编码以及使用readObject方法进行反序列化,攻击者可能利用此漏洞构造恶意数据,执行任意命令。漏洞利用过程包括获取AES key、序列化恶意数据、AES加密和Base64编码,最后伪造cookie来触发命令执行。判断网站是否使用Shiro的方法是检查响应头中的rememberMe=deleteMe字段。

shiro反序列化原理

rememberMe功能:
shiro框架提供了rememberMe功能,这个功能大概是用户登录成功后会生成一个凭证组,shiro将它经过序列化->AES加密->Base64加密得到一串数据流传回给cookie,下次登录时,shiro通过Base64解码->AES解密->反序列化验证cookie中的rememberMe包含的凭证组是否正确,从而实现“下次登录记住我”的功能。

漏洞原理:
造成shiro反序列化漏洞的关键点,一个是Shiro<1.2.4中,AES-CBC加解密时key默认为硬编码,只要能获取到这个key就可以构造恶意数据让shiro识别为正常数据;另一个点是shiro在验证rememberMe时使用了readObject方法,readObject用来执行反序列化后需要执行的代码片段,从而造成恶意命令可以被执行。

漏洞利用:

  1. 首先需要获取正确的key值,利用shiro接收错误rememberMe会抛出异常返回Set-Cookie的特性,可以通过爆破,直到响应头中不包含Set-Cookie,说明key成功匹配。
  2. 接着需要对恶意数据进行序列化,shiro序列化对象只有继承PrincipalCollection时,类型转换才正常,不然会抛出异常,这里可以借助ysoserial生成序列化数据:
    利用ysoserial中的JRMP监听模块进行反弹shell,需使用Java Runtime 配合 bash 编码 java -cp
  3. ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 监听端口
    CommonsCollections4 ‘bash编码’ 利用ysoserial生成.ser文件 java -jar
    ysoserial-0.0.6-SNAPSHOT-all.jar CommonsBeanutils1 “命令” > x.ser
  4. 然后进行AES加密、Base64加密,伪造cookie,执行命令

如何判断一个网站是否使用了shiro框架

在请求包中的cookie字段添加rememberMe=xxx,查看响应头中是否包含rememberMe=deleteMe值
例如:
在这里插入图片描述

shiro反序列化漏洞原理与分析
故事讲予风听
10-12 980
原理 AES加密的密钥Key被硬编码在代码里,每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终就会造成反序列化漏洞
shiro反序列化漏洞原理和复现
LJH1999ZN的博客
03-31 1万+
一、shiro简介 Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。Shiro首要的和最重要的目标就是容易使用并且容易理解。 二、shiro的身份认证工作流程 通过前端传入的值, 获取rememberMe cookie base64加密 AES加密 (对称加解密) 反序列化 三、shiro反序列化漏洞原理 AES加密的密钥Key被硬编码在代码里,意味着每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES
【网络安全---漏洞复现】shiro550反序列化漏洞原理漏洞复现和利用(基于vulhub,保姆级的详细教程)
最新发布
2302_76672693的博客
10-21 835
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序序列化就是为了传输遍历,把一个对象类型的数据转换成字符串进行传输;
shiro反序列化漏洞
wutiangui的博客
09-07 3246
序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,保证对象的完整性和可传递性;反序列化即逆过程,由字节流还原成对象。根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。漏洞影响版本。
golang - switch_golang switch,一份非常适合收藏的Golang进阶面试题
2401_84252820的博客
04-15 1182
不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!fmt.Printf(“请输入一个字符:a,b,c,d,e,f,g\n”)请编写一个程序,该程序可以接收一个字符,比如:a,b,c,d,e,f,g。fmt.Println(“您没有按要求输入,请按照要求输入信息”)fmt.Println(“周一”)fmt.Println(“周二”)fmt.Println(“周三”)fmt.Println(“周四”)
shiro反序列化搭建、利用、复现、漏洞原理
芜湖~米汤来喽~
01-07 2510
Shiro框架下框架供了记住密码的功能(RememberMe)用户登陆成功后会生成一个经过加密的Cookie其Cookie的RememberMe的Value的值是经过序列化、AES加密和base64编码后得到的结果。由于使用了AES加密,在Shiro1.2.4版本之前AES加密默认密钥的Base64编码值为kPH+bIxk5D2deZiIxcaaaA==,于是就可得到Payload的构造流程:恶意命令–>序列化–>AES加密–>base64编码–>发送Cookie–>回显数据–>数据解码。
网络安全最新hw蓝队初级面试总结_weblogic反序列化流量特征,2024年最新阿里架构师经验分享
2401_84520118的博客
05-10 1232
导致shiro反序列化的主要原因就是shiro提供的记住密码功能,当用户打开这个功能时会在请求阿包中生成一个cookie,cookie的value值是经过反序列->aes加密->base64加密后的字符串,关键在于aes加密的秘钥是默认的,如果没有修改这个秘钥,就会导致反序列化漏洞,攻击者可以构造恶意代码,将恶意代码序列化-aes加密-base64加密后传入cookie,这样就导致RCE漏洞。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;
我的2023年护网蓝队面试题(一面)
qq_63217130的博客
05-13 7368
我的2023年蓝初面试经历(一面)
面试题个人总结(面经)
weixin_65582330的博客
03-03 1186
你好,我叫XXX,是今天面试初级蓝队的人员,我毕业于XXXX,专业为网络空间安全,我曾经在XXXXX实习过,有过大概一年左右的工作经验,还有过一定的护网经验,去年在奇安信厂商护过网,在监测岗(在流量传感器中监测告警信息和恶意流量,发攻击ip到封禁群里,通知每日的告警数量并整理),在专业上我熟悉基本的漏洞类型,如:SQL注入、XSS、CSRF、SSRF、文件上传等漏洞,熟悉sqlmap,burpsuite,wireshark、msf、cs等渗透工具使用。它是一种过滤器,可以作为一个中间流来过滤其他的数据流。
HW面试初中高级题目整合(后续更新答案)
weixin_51339377的博客
06-14 1657
总的来说,网安的技术这么些年没什么大的进步,所以24年的hw题目和22年的hw题目几乎可以说没什么区别,问的也大差不差。--->一般判断“误报”指的是安全设备的告警类型与实际payload能不能对的上,如果对不上就是误报,对的上就进一步根据特征,和代码逻辑进行判断是不是告警。2.参加的是哪个单位的,是公安部的护网么,是做为外包公司去的么,是以什么身份去的呢(这里我不清楚,回答:和这次一样)没发现攻击行为,但是有一个文件落地了,会怎么做,怎么对他这个文件进行分析 是恶意的还是免杀的。
2024HW面试 中高级面试面经背诵笔记(持续更新)
weixin_51339377的博客
06-09 818
注册表下\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下的Names可以看到所有用户 包括影子用户。netstat -ano | findstr "ESTABLISHED" #可以在所有的网络连接中查看进程PID建立的连接。通过netstat定位出pid后 可以用 tasklist | find "3389" 来查看相应pid具体的应用程序。管理员权限用 netstat -anb 快速定位所有的端口对应的应用程序。常见数据库的端口,Vnc的端口等。
Shiro反序列化漏洞【详细解析】
m0_67392126的博客
08-30 1745
硬编码要求程序的源代码在输入数据或所需格式发生变化时进行更改,以便最终用户可以通过程序外的某种方式更改细节。
shiro550反序列化漏洞原理漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-16 2万+
本文是shiro550漏洞(CVE-2016-4437)的漏洞原理漏洞复现。本文所有使用的工具和脚本都会在文末给出链接。使用vulhub搭建靶场,漏洞复现包括手动构造cookie的payload或使用shiro550的图形化漏洞利用工具,最终实现反弹shell和任意命令执行。
Shiro反序列化漏洞原理详解及复现
Javachichi的博客
05-06 1120
生成CC链,再次按照上述方式发送,执行命令为反弹shell(CC6可打通),注意vulhub靶机本身没有nc,如果使用nc需要先上传。在登录时勾选Remember me,burp抓包可以看到,响应包的set-cookie字段存在rememberMe。删除JSESSIONID(当该字段存在时,不检测rememberMe),修改rememberMe为加密后的值发送。AES解密,shiro默认加密方式,存在padding oracle攻击及密钥泄露,是可以利用的核心。
shiro反序列化
weixin_48776804的博客
05-12 1万+
shiro反序列化
漏洞分析 | 经典的Shiro反序列化
2301_80115097的博客
03-26 2711
其实这个还是得学习学习加密解密的方法,才能进行编写poc,但是此处只是了解个思路。具体可参考其他文章;声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等应急响应笔记学习路线。
shiro反序列化漏洞原理分析及漏洞复现(Shiro-550/Shiro-721反序列化)
网络空间安全学习
09-18 2997
shiro-550主要是由shiro的rememberMe内容反序列化导致的命令执行漏洞,造成的原因是默认加密密钥是硬编码在shiro源码中,任何有权访问源代码的人都可以知道默认加密密钥。于是攻击者可以创建一个恶意对象,对其进行序列化、编码,然后将其作为cookie的rememberMe字段内容发送,Shiro 将对其解码和反序列化,导致服务器运行一些恶意代码。特征:cookie中含有rememberMe字段修复建议:更新shiro到1.2.4以上的版本。不使用默认的加密密钥,改为随机生成密钥。
shiro反序列化与fastjson反序列化漏洞原理
2301_76786857的博客
12-25 890
当使用Fastjson反序列化一个对象时,Fastjson会为该对象创建一个动态代理对象,并通过该代理对象调用Java对象的setter方法将JSON数据转换为Java对象。在反序列化过程中,Fastjson会根据JSON数据的键值对,通过反射调用Java对象的setter方法将JSON数据转换为Java对象。然而,当Shiro反序列化一个恶意构造的序列化数据时,由于反序列化过程中没有对数据进行正确的验证和过滤,攻击者可以插入恶意的代码,这些代码在反序列化时会被执行。
Shiro反序列化漏洞测试工具使用指南
### 知识点:Shiro 反序列化漏洞测试 Apache Shiro 是一个功能强大的Java安全框架,它提供身份验证、授权、会话管理和加密等功能。在安全领域,Shiro得到了广泛的应用,因为它可以方便地集成到现有的系统中去。然而...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Redredredfish

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值