shiro550反序列化漏洞学习(没怎么学过java的人简单尝试)

最新推荐文章于 2024-06-20 08:00:00 发布
最新推荐文章于 2024-06-20 08:00:00 发布
阅读量1.3k 收藏 2
点赞数 3
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_73998094/article/details/129467729
版权

shiro框架提供了rememberme这个功能,用户登陆后会生成经过加密并编码的cookie,在服务端接收cookie值后,进行解密流程

Base64解码——>AES解码——>反序列化

因此我们只需要获取AES加密的密钥,就可以构造一个恶意对象,再对其进行加密

反序列化——>AES加密——>Base64编码

然后将构造的恶意对象,将其作为cookie的rememberMe字段发送,Shiro将rememberMe进行解密并且反序列化,最终造成反系列化漏洞。

漏洞成因:

Shiro 1.2.4及之前的版本中,AES加密的密钥默认硬编码在代码里(SHIRO-550)

源码分析:

入口点:

onSuccessfulLogin(Subject subject, AuthenticationToken token, AuthenticationInfo info)函数

 

isRememberMe(token) 判断token是否为true

token为true后,进入rememberIdentity函数

跟入getIdentityToRemember函数,这个函数接收subject和AuthenticationInfo作为参数,但是忽略了subject参数,只返回AuthenticationInfo中的principals,这个函数主要用来存储用户主体,相当于把获取的用户名赋值给principals

跟入rememberIdentity函数,看到调用了convertPrincipalsToBytes函数

继续跟入convertPrincipalsToBytes函数,发现这个函数先对之前获取的用户进行反序列化,利用getCipherService()来判断返回的结果是否为空(如果AbstractRememberMeManager类中有一个CipherService属性,那么getCipherService方法就会返回这个属性的值。如果没有这个属性,那么getCipherService方法就会返回null),后进入encrypt函数

encrypt函数

定义一个变量value,初始化为参数serialized。
获取一个CipherService对象,赋值给变量cipherService。
如果cipherService不为空,执行以下操作:
调用cipherService的encrypt方法,传入参数serialized和一个加密密钥,得到一个ByteSource对象,赋值给变量byteSource。
调用byteSource的getBytes方法,得到一个字节数组,赋值给变量value。
返回变量value。

跟入这个函数

cipherService.encrypt(serialized, getEncryptionCipherKey())函数

cipherService是一个接口,encrypt是接口中的函数

在CipherService.java中发现了AesCipherService

继续跟入发现了AES,可以看出是AES加密

继续跟入继承的DefaultBlockCipherService,发现了其运行方式为CBC与填充方案是 PKCS5

跟入PKCS5,可以看出整个加密方法是AES-CBC-PKCS5Padding

回到之前的encrypt函数,这次的目标是getEncryptionCipherKey()函数

跟入getEncryptionCipherKey()函数

查看encryptionCipherKey的调用层次,会发现调用了DEFAULT_CIPHER_KEY_BYTES这个常量

查看一下这个常量,发现是由base64的硬编码,开头到这一步刚好可以分析出加解密为

反序列化——>AES-CBC-PKCS5Padding——>base64

在调用关系中可以看出,这个AbstractRememberMeManager()是继承CookieRememberMeManager,跟入后看到了熟悉的"rememberMe"

总结流程:

  1. 用户名序列化

  2. AES-CBC加密,key已知为kPH+bIxk5D2deZiIxcaaaA==

  3. Base64编码

  4. 将上述设置到cookie中的rememberme字段

提示:不怎么会java,文章可能有些错误

shiro550 反序列化漏洞分析
Vicl1fe的博客
03-20 1021
环境搭建 我的环境 1、Maven 3.5.2 2、jdk 1.6和jdk1.8(默认java环境是1.8,1.6是用于配置下面的toolchains) 3、IDEA 配置shiro 首先下载shiro-1.2.4:shiro-1.2.4下载。 文件目录如下, 进入samples\web目录下。这就算是漏洞复现的web目录了。 配置Maven 配置一下maven,在maven/conf/toolchains.xml中的toolchains 中添加以下代码。至于为什么要添加,可以看看toolchains的
IDEA搭建shiro550复现环境
zyer
03-14 2486
一.环境准备 tomcat 8.5.76(下载地址:Apache Tomcat® - Welcome!) JDK 1.7 (下载地址:Java Archive Downloads - Java SE 7) shiro (下载地址:GitHub - jas502n/SHIRO-550: Shiro RememberMe 1.2.4 反序列化 漏洞) 下载对应war包即可 shiro源码(下载地址:https://codeload.github.com/apache/shiro/zip/shiro-ro
[Java安全学习]Shiro550原理分析以及攻击演示
GX233的博客
07-13 675
Shiro550反序列化漏洞原理分析与攻击
Shiro漏洞复现Shiro-550
weixin_51151498的博客
12-19 914
Shiro漏洞复现Shiro-550
Shiro 550 反序列化漏洞 详细分析+poc编写
god_Zeo的安全博客
09-03 1万+
0x00 前言 shiro反序列化漏洞这个从 shiro 550 开始,在2016年就爆出来, 但是到现在在各种攻防演练中也起到了显著作用 这个漏洞一直都很好用,特别是一些红蓝对抗HW的下边界突破很好用 遂研究一下这个漏洞的成因和分析一下代码 0x01 Shiro 550 漏洞描述 Apache Shiro RememberMe 反序列化导致的命令执行漏洞 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理 编号:Shiro-550, CVE-2016-4437
[Java反序列化]—Shiro反序列化()
snowlyzz的博客
12-05 7792
shiro -550 反序列化(一)
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
Shiro接收到这个Cookie并尝试解密和反序列化数据时,就会执行攻击者精心设计的代码,从而导致反序列化漏洞。 受影响的版本仅限于Apache Shiro 1.2.4及以下。为了修复这个问题,Shiro在1.2.4之后的版本中引入了...
Shiro550 反序列化漏洞(CVE-2016-4437)
qq_68163788的博客
06-20 1256
Apache Shiro是一个强大而易用的Java安全框架,专注于提供认证、授权、加密和会话管理等安全功能。Shiro旨在简化安全性,通过直观的设计和简单的API使安全功能的集成变得轻松。开发员可以选择多种认证方式,灵活地管理用户的角色和权限,以确保对资源的安全访问。此外,Shiro还提供了便捷的加密工具,用于保护敏感数据的存储和传输。综合来看,Apache Shiro是一款功能全面且易于使用的安全框架,为开发员提供了完善的安全解决方案,帮助他们构建安全可靠的应用程序。
Shiro反序列化漏洞检测工具
01-05
Apache Shiro是一款强大的Java安全框架,它为...通过了解Shiro反序列化漏洞的原理和防范措施,我们可以更好地保护我们的系统免受此类攻击。同时,使用提供的检测工具进行定期扫描,也能及时发现并修复潜在的安全隐患。
shiro反序列化漏洞检测工具,含链接教程
08-17
使用方法如描述所示,通过命令行输入`java -jar shiro_tool.jar`后跟目标服务器的URL,工具会尝试识别并测试该服务器是否存在Shiro反序列化漏洞。`readme.txt`可能是提供关于如何使用该工具以及漏洞原理的详细说明。...
shiro550代码审计(巨详细)--加密部分
zyer
03-16 5989
找了一下大佬的文章借鉴了一下shiro550的利用流程 (Shiro 550 反序列化漏洞 详细分析+poc编写) 简单介绍利用: 通过在cookie的rememberMe字段中插入恶意payload, 触发shiro框架的rememberMe的反序列化功能,导致任意代码执行。 shiro 1.2.24中,提供了硬编码的AES密钥:kPH+bIxk5D2deZiIxcaaaA== 由于开发员未修改AES密钥而直接使用Shiro框架,导致了该问题 于是我们......
Java数据加密Cipher介绍
03-07
数字加密是安全体系中最重要的安全组件,数据加密可以保证数据的私密性。Cipher类为加密和解密提供密码功能,是Java Cryptographic Extension(JCE)框架的核心。在本系列中,讲解了数据加密的常见的相关概念,对Cipher引擎类进行了简明扼要的介绍, 对Cipher 加解密Key对象做了介绍。通过本系列的学习,可以了解数据加密的原理及过程,了解Cipher引擎类,本课程给出来最基本的数据加密的引擎类示例,便于用户学习和使用Java数据加密解密编程
Shiro-550漏洞复现
weixin_51641247的博客
03-25 260
利用集成工具复现shiro550漏洞
shiro 550 反序列化攻击记录
青衫的博客
07-24 2366
安装 :https://blog.youkuaiyun.com/qq_27446553/article/details/54590691 ps:加密解密的代码表示有成功运行,jar下载不下来。最后直接用了生成的remerberme 代码分析 https://blog.youkuaiyun.com/three_feng/article/details/52189559...
SHIRO-550 反序列化漏洞分析
热门推荐
three_feng的博客
08-12 2万+
所需环境:   1、maven 2、jdk1.6 jdk1.8(默认java环境是1.8,1.6是用于配置下面的toolchains) 3、eclipse   一、搭建漏洞环境   下载漏洞示例代码 https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4   解压并使用e
Shiro 提供的AES 对称式加密/解密方式——AesCipherService的使用案例
优质后端技术知识记录
01-15 1847
AesCipherService aesCipherService = new AesCipherService(); aesCipherService.setKeySize(128); //设置key长度 //生成key Key key = aesCipherService.generateNewKey(); String text = "hello"; //加密 St...
经典的Shiro反序列化漏洞分析
hackzkaq的博客
03-02 4863
更多黑客技能 公众号:小道黑客 作者:掌控安全-holic 0x01、前言 相信大家总是面试会问到java反序列化,或者会问到标志性的漏洞,比如shiro反序列化,或者weblogic反序列化漏洞。 那我就这篇文章为大家讲解一下,不懂的哥哥直接背一下,理解一下就好了。 至于为什么要选择shiro反序列化呢,不讲weblogic呢? 因为我上次有幸参与金鸡电影节的临时安全负责,具体我就不细说了。当时是内部涉及到shiro反序列化漏洞。 准确的来说是Shiro<1.2.4-RememberMe反序
Encrypt 加密练习
crazy_tong的博客
12-25 4402
public class Encrypt { public static void main(String[] args) { //base64编码/解码 String string="hello word"; String base64= Base64.encodeToString(string.getBytes());//加密
shiro550反序列化漏洞
最新发布
03-18
### Apache Shiro 1.2.4 反序列化漏洞 (CVE-2016-4437) 的原因 Apache Shiro 是一个用于 Java 应用程序的安全框架,提供身份验证、授权、加密和会话管理等功能。该漏洞的核心在于 `rememberMe` 功能的实现方式不当。当用户登录时,如果启用了 `rememberMe` 功能,则服务器会在响应头中设置一个名为 `Set-Cookie` 的字段,并附带一个经过 Base64 编码后的对象作为值[^2]。 此编码的对象实际上是通过 Java 的序列化机制生成的一个字节数组。然而,在反序列化过程中,攻击者可以通过构造恶意的序列化数据来触发远程代码执行(RCE),从而利用这一功能实施攻击[^3]。 #### 漏洞成因的具体细节 1. **RememberMe Cookie 处理逻辑缺陷**: 当客户端发送带有伪造的 RememberMe 数据请求到服务端时,Shiro 不会对这些数据做严格的校验就直接尝试将其反序列化。 2. **Java 反序列化风险**: 如果应用程序加载了某些易受攻击的类库(例如 Common Collections),那么即使输入的数据被篡改也可能会被执行任意命令操作[^4]。 --- ### 解决方案与防护措施 针对上述提到的问题可以采取如下几种解决方案: 1. **升级版本** 升级至不受影响的新版 Apache Shiro (>=1.2.5)。官方已经在后续发布版本里修复了这个问题并改进了对于 Remember Me token 的处理流程[^1]。 2. **禁用 RememberMe 功能** 对于不需要持久化登录的应用场景可以直接关闭 RememberMe 配置项以规避潜在威胁。具体做法是在配置文件或者代码初始化阶段显式调用 disable 方法: ```java DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO(); subjectDAO.setSessionStorageEvaluator(new NullSessionStorageEvaluator()); securityManager.setSubjectDAO(subjectDAO); ``` 3. **加强依赖组件安全性审查** 定期审计项目所使用的第三方 jar 文件是否存在已知脆弱点;移除不必要的危险 gadgets 类型比如 org.apache.commons.collections.functors.* 下的内容。 4. **网络边界防御手段部署** 使用 WAF(Web Application Firewall) 或 IPS(Intrusion Prevention System) 来拦截可疑流量模式,特别是那些包含 base64 加密字符串或者其他异常特征的行为。 5. **自定义 Token 校验机制** 开发团队也可以考虑重新设计一套更健壮的身份令牌解析算法代替默认实现,确保只有合法签名才能成功解码恢复原始状态信息。 --- ### 示例代码片段展示如何检测是否存在漏洞 下面给出一段简单的测试脚本用来判断目标主机是否可能遭受此类攻击的影响: ```python import requests def check_vulnerability(url): headers = {"Cookie": "rememberMe=1"} try: response = requests.get(url, headers=headers) if "Set-Cookie" in response.headers and "rememberMe=deleteMe;" in response.headers["Set-Cookie"]: print(f"[+] Vulnerable! Target responds with 'rememberMe=deleteMe'. URL: {url}") else: print(f"[-] Not vulnerable or protected by other mechanisms. URL: {url}") except Exception as e: print(f"[!] Error occurred while checking vulnerability on {url}: {e}") if __name__ == "__main__": target_url = input("Enter the target URL to test: ") check_vulnerability(target_url.strip()) ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值