shiro反序列化漏洞分析

原创 已于 2022-04-06 13:17:10 修改 · 1.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

于 2022-03-30 18:00:34 首次发布
本文深入分析了Apache Shiro框架的反序列化漏洞,从准备环境到加密分析,再到解密分析,详细解释了Shiro如何进行AES加密、Base64编码以及如何处理cookie数据。在解密过程中,文章揭示了反序列化过程的关键步骤,指出`readObject`函数是导致反序列化漏洞的原因。

文章目录

准备:

在github下载shiro-root-1.2.4源码.
在IDEA中打开项目,进行如下配置:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
添加 samples-web:war exploded即可
在这里插入图片描述
可以看见已经搭建成功了,我们通过burp抓包可以看到shiro反序列化的特征

加密分析

HTTP/1.1 302 
Set-Cookie: rememberMe=deleteMe; Path=/samples; Max-Age=0; Expires=Tue, 29-Mar-2022 08:48:15 GMT
Set-Cookie: rememberMe=

在这里插入图片描述
在idea中查找rememberMe可见如下:
在这里插入图片描述
一个一个的查看可以发现RememberMeManager.class中定义了几个方法,而AbstractRememberMeManager.class和CookieRememberMeManager.class中便是一些程序代码。

在文件中可以看到rememberSerializedIdentity方法,看到这个名字就想到了序列化rememberme对象,于是在这个方法下一个断点进行调试
在这里插入图片描述
在这里插入图片描述
一路f8下来没有比较有意义的方法,直到进入AbstractRememberMeManager.class文件发现从rememberIdentity方法出来了,于是反过来查看该方法。
在这里插入图片描述
convertPrincipalsToBytes函数返回了rememberme的byte[],于是重新在此处下断点进行调试
在这里插入图片描述
f7进入serialize方法

this.getSerializer().serialize(principals);

再次f7,看到这里就明白了,这里先转为byte,写入缓冲区;然后进行了一个序列化,最后通过toByteArray()方法返回序列化后的Byte数组。
在这里插入图片描述
f8回去查看

if (this.getCipherService() != null) {
            bytes = this.encrypt(bytes);
        }

f7进getCipherService查看是判断的什么
在这里插入图片描述
可以看到获取了一个密码服务,再次f7就返回了,于是ctrl进去查看cipherService发现

private CipherService cipherService = new AesCipherService();

通过名字就可以看出是一个 aes加密服务 ,不过严谨来看还是进去查看一下:
在这里插入图片描述
可以看到确实是aes加密,继续debug看见 开始了
在这里插入图片描述
于是f7进入加密方法查看
在这里插入图片描述
可以发现该方法 主要是 ByteSource byteSource = cipherService.encrypt(serialized, this.getEncryptionCipherKey());起作用,于是f8到这个位置了f7进入查看该方法先看第一个encrypt
在这里插入图片描述
也是加密方法,而第二个getkey的话进入发现是获取aes的硬编码:

public byte[] getEncryptionCipherKey() {
        return this.encryptionCipherKey;
    }

而在上面有定义:

private static final byte[] DEFAULT_CIPHER_KEY_BYTES = Base64.decode("kPH+bIxk5D2deZiIxcaaaA==");
private byte[] encryptionCipherKey;
private byte[] decryptionCipherKey;

由此便是加密了。

解密分析

首先我们知道了加密是AES加密–>base64编码–>发送cookie
由此我把断点 下在了encrypt之下的decrypt。
然后使用shiro的利用工具发送请求包。
在这里插入图片描述
在这里插入图片描述
f8回去发现出自convertBytesToPrincipals
在这里插入图片描述
继续下去发现出自getRememberedPrincipals
在这里插入图片描述
重新下断点并debug。
进入getRememberedSerializedIdentity
在这里插入图片描述
并不能看出这个函数有什么作用,于是一路f8直到看见了String base64 = this.getCookie().readValue(request, response);
在这里插入图片描述
可以明白该函数读取了cookie中的数据
在这里插入图片描述
分析该函数可以看出通过getName()方法得到了key为remeberMe。然后把value置空,再通过getCookie获取到cookie。最后判断cookie不为空,则进入内部;随后获取到cookie的值;值则为序列化内容。然后再 return回序列化内容。
返回之前的函数一路f8,看到了
在这里插入图片描述
这里就将base64进行了解码并化为了byte。
接下来就是aes解密,我们继续f8,然后就回到了
在这里插入图片描述
可以看见convertBytesToPrincipals会接收并处理bytes,于是我们跟进这个方法
在这里插入图片描述
进入decrypt
在这里插入图片描述
继续跟进decrypt
在这里插入图片描述
都是解密的
一路f8回到上一层
在这里插入图片描述
重点来了,deserialize()。f7进入
在这里插入图片描述
继续f7进入
在这里插入图片描述
我们反序列化的神,readObject函数在这等着我们呢。
由此shiro反序列化就因为这个了,加密解密都看完了,准备过两天好好看看readobject和cc。

error_404_1
关注
Shiro反序列化漏洞(Shiro-550、Shiro-721)
李同學的安全圈
12-21 7342
0x01 Shiro介绍 Apache Shiro 是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能,Shiro框架直观、易用、同时也能提供健壮的安全性。 Apache Shiro反序列化漏洞分为两种:Shiro-550、Shiro-721 0x02 Shiro-550 反序列化漏洞 CVE-2016-4437 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的Cookie,在服务端对rememberMe的Cook
Apache Shiro系列漏洞利用以及实战总结
热门推荐
jammny
10-14 1万+
前言: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。 目录 RememberMe RCE-550(CVE-2016-4437) 远程安全限制绕过漏洞(CVE-2016-6802) Padding Orac
Shiro RememberMe反序列化漏洞复现(Shiro-550)
box
11-28 5477
0x00 漏洞原理简要分析 官方说明:https://issues.apache.org/jira/browse/SHIRO-550 Shiro提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。 ShirorememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行 : 序列化 =>AES加密 =>Base64编码操作 在识别身份
漏洞分析 | 经典的Shiro反序列化
最新发布
2302_76672693的博客
10-23 301
相信大家总是面试会问到java反序列化,或者会问到标志性的漏洞,比如shiro反序列化,或者weblogic反序列化漏洞。那我就这篇文章为大家讲解一下,不懂的哥哥直接背一下,理解一下就好了。至于为什么要选择shiro反序列化呢,不讲weblogic呢?因为我上次有幸参与金鸡电影节的临时安全负责人,具体我就不细说了。当时是内部涉及到shiro反序列化漏洞。准确的来说是Shiro<1.2.4-RememberMe反序列化漏洞。而它也被称为Shiro 550反序列化漏洞。细品细品…
Shiro框架漏洞分析与复现
m0_59598029的博客
04-18 6747
ApacheShiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性,可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的Web 和企业应用程序。
shiro导致返回的响应头中带有rememberMe = deleteMe,有时候顺序在SESSIONID之前
weixin_44967580的博客
03-14 4374
shiro返回的响应头带有rememberMe = deleteMe
精选资源
Shiro反序列化漏洞检测工具
01-05
Apache Shiro是一款强大的Java安全框架,它为...通过了解Shiro反序列化漏洞的原理和防范措施,我们可以更好地保护我们的系统免受此类攻击。同时,使用提供的检测工具进行定期扫描,也能及时发现并修复潜在的安全隐患。
精选资源
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果...
精选资源
shiro反序列化漏洞检测工具,含链接教程
08-17
使用方法如描述所示,通过命令行输入`java -jar shiro_tool.jar`后跟目标服务器的URL,工具会尝试识别并测试该服务器是否存在Shiro反序列化漏洞。`readme.txt`可能是提供关于如何使用该工具以及漏洞原理的详细说明。...
每天一个漏洞之——shiro反序列化
qq_54030686的博客
01-23 2422
每天一个漏洞之——shiro反序列化 原因:Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。这个AES解密类似于md5加密过程中使用的盐,简单的理解为这个shiro框架泄露了相应的AES密钥 出现的标志:返回数据包中出现rememberMe=deleteme字样,说明此系统使用的为shiro框架,即可使用对应的工具
Shiro反序列化漏洞利用详解(Shiro-550+Shiro-721)
m0_67391401的博客
08-24 1822
通过在cookie的rememberMe字段中插入恶意payload,触发shiro框架的rememberMe反序列化功能,导致任意代码执行。shiro 1.2.24中,提供了硬编码的AES密钥:kPH+bIxk5D2deZiIxcaaaA==由于开发人员未修改AES密钥而直接使用Shiro框架,导致了该问题。
shiro反序列化漏洞简述
m0_67392126的博客
08-24 863
首先,shiro处理cookie的流程是先得到rememberMe的cookie值,然后Base64解码,AES加密,最后反序列化。Apache Shiro是一款开源企业常见JAVA安全框架,此框架提供了RememberMe的功能,这是很多网站都具备的,例如你登录了一个网站,关掉浏览器再次打开网站时,网站会保留你的登录信息情况。先说结论:无论是否升级shiro到1.2.5及以上,如果shirorememberMe功能的AES密钥一旦泄露,就会导致反序列化漏洞。readObject()反序列化的内容可控。
[Vulhub] Apache Shiro 反序列化漏洞shiro-550,shiro-721)
weixin_45605352的博客
05-15 3481
0x00 漏洞描述 Apache Shiro是一款开源强大且易用的Java安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 0x01 影响版本 Apache Shiro <= 1.2.4 漏洞特征: shiro反序列
shiro-550反序列化漏洞
weixin_66717977的博客
03-21 1534
基于docker的shrio反序列化漏洞复现
shiro反序列化漏洞(CVE-2016-4437)漏洞复现
HEAVEN569的博客
06-21 8188
本文对shiro反序列化漏洞(CVE-2016-4437),进行了分析复现,介绍了利用工具和常规修复方法
Shiro1.2.4反序列化漏洞检测与复现
qq_45396375的博客
12-20 2111
用户勾选RememberMe登录后,shiro框架将用户信息进行序列化,序列化的内容进行AES加密,再使用base64编码,最后给用户返回一个rememberMe的cookie。 而AES加密采用了一个固定的key kPH+bIxk5D2deZiIxcaaaA==,因此攻击者可以构造恶意的代码,将恶意代码进行序列化,再通过固定key对恶意代码进行AES加密,再base64编码 攻击者将这段恶意数据替换为正常的cookie值,这段cookie值发到后台后,shiro框架会将这段加密数据进行base64解码,
Apache Shiro 反序列化漏洞分析与调试
本资源主要关注Shiro的一个安全漏洞,即在Shiro RememberMe 1.2.4版本中出现的反序列化导致的命令执行问题。 在环境搭建方面,参考了两篇文章来了解Shiro反序列化的历史记录和具体的漏洞细节。为了进行远程调试,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值