Apache Shiro Java反序列化漏洞总结

最新推荐文章于 2025-03-11 21:21:23 发布
最新推荐文章于 2025-03-11 21:21:23 发布
阅读量387 收藏 1
点赞数
分类专栏: 反序列化漏洞 文章标签: 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43198291/article/details/116073915
版权
本文深入探讨了Apache Shiro框架中的RememberMe功能存在的安全问题。一旦AES加密密钥泄露,攻击者可以利用反序列化漏洞进行攻击。Shiro在处理rememberMe cookie时,进行了序列化、AES加密和Base64编码。由于密钥硬编码在代码中,攻击者可以构造恶意对象,解密并反序列化,导致安全风险。提供了一个利用此漏洞的工具链接,供安全研究和防护使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

1.影响

只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致反序列化漏洞。

2.触发点

  • Shiro提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。

  • Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行 序列化、AES加密、Base64编码操作

3.总结

AES加密的密钥Key被硬编码在代码里,意味着每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞

4.利用

下载
https://github.com/j1anFen/shiro_attack/releases/tag/1.5
运行靶机
docker run -d -p 8000:8080 medicean/vulapps:s_shiro_1

工具利用
在这里插入图片描述

哥斯拉连接(老版本)
在这里插入图片描述

Apache Shiro 1.2.4反序列化漏洞(Shiro-550)--Shiro rememberMe反序列化漏洞(CVE-2016-4437)
薛定谔嘚喵博客
05-10 1965
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
Apache Shiro Java反序列化漏洞分析
2301_77512689的博客
04-18 613
最终利用ysoserial的CommonsBeanutils1命令执行。虽然在ysoserial里CommonsBeanutils1类的版本为1.9.2,不过上面环境测试确实可以命令执行。这里当时有一个问题是:如何获取Java里引用组件的版本?大多数的时候,我们只要解析pom.xml就能解析出相应组件的版本。但有的情况下,并不能获取组件的版本。比如有的pom.xml并没有设置组件的version版本,没有设置version的情况,是由依赖决定。项目中依赖了A,A依赖了B,B的版本由A决定;
Shiro_exploit:Apache Shiro Java反序列化漏洞的分析和利用
03-10
Apache Shiro Java反序列化进攻分析及利用 0x00项目地址 0x01概述 两者天被派去去护网&重保,态势感知报告了一条冰蝎的远程代码执行的纠正,在通过日志以及webshel​​l及相关信息,红队大概是通过shiro反序列化拿到主机权限,之前一大佬还特别分享过shiro反序列化断裂,还没来及研究就碰上了,。正好这个机会研究分析一波, 四郎用remembreme这个cookie的对用户进行鉴权,防止出现越权问题,它使用CookieRemembreMeManager这个类,对remebremecookie的键使用ObjectInputStream类进行序列化,然后对字符流进行用AES加密方式对其进行的base64编码,然后返回客户端remebremeCookie ,这其实是有问题的,shiro把其实aes的密钥硬编码在代码里的类,我们可以通过ysoserial这个的Common
反序列化漏洞_Apache Shiro Java反序列化漏洞
weixin_39552768的博客
12-14 459
一、漏洞介绍Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Shiro提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。Shiro对rememberme的cookie做...
Apache Shiro反序列化漏洞深度剖析:从原理到利用
最新发布
qq_63949216的博客
03-11 1141
恩师小迪
Apache Shiro Java 反序列化漏洞分析
Townmacro的博客
04-06 4067
Apache Shiro Java 反序列化漏洞分析
Apache Shiro Java反序列化漏洞记录
mazuyu408的博客
04-10 374
最近工作上刚好碰到了这个漏洞,当时的漏洞扫描出来后一直升级shiro也没效果,最后才发现是,shiro的rememberMe功能的AES密钥一旦泄露,就会导致反序列化漏洞。 而无论是否升级shiro到最新版本还是什么,ShiroConfig类里面的rememberMe管理器如果没有做修改大部分都是一样的代码,所以很容易就会被攻击到。 /** * rememberMe管理器, cipherKey生成见{@code Base64Test.java} */ @Bean
Apache Shiro反序列化漏洞
qq_63980959的博客
02-29 1274
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性。​ 首先说一下何为序列化,序列化就是指把Java对象转换为字节序列的过程,shiro框架为java框架同时使用了序列化。shiro框架的整体流程为:用户登录成功时会生成一段由序列化–>aes加密—>base64编码构成的cookie值。
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
然而,在Apache Shiro 1.2.4及其更早的版本中,存在一个严重的反序列化漏洞。这个漏洞主要与RememberMe服务的实现有关。在处理RememberMe的Cookie时,Shiro的`CookieRememberMeManager`类会执行一系列操作:首先,它...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Apache Shiro Java反序列化漏洞(CVE-2016-4437)
qq_45300786的博客
12-25 806
我只是个无情的挂马机器,原理相信百度一大把,我就不赘述了 0x00 环境要求 靶机:192.168.100.23 攻击机:192.168.100.34 0x01 环境搭建 这里使用docker进行环境搭建: 下载 git clone https://github.com/Medicean/VulApps/tree/master/s/shiro/1 1.拉取环境到本地 $ docker pull medicean/vulapps:s_shiro_1 2.启动环境 $ docker run -d -p 8080
java反序列化漏洞 https服务_25. Apache Shiro Java反序列化漏洞
weixin_39619481的博客
02-25 203
前言:最近在审核漏洞的时候,发现尽管Apache shiro这个反序列化漏洞爆出来好久了,但是由于漏洞特征不明显,并且shiro这个组件之前很少听说,导致大厂很多服务还存在shiro反序列化漏洞,这里对漏洞进行简单分析与复现。一.漏洞前析0x01 什么是Apache ShiroApache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理...
java 漏洞复现_Apache Shiro java反序列化漏洞复现
weixin_42526484的博客
03-02 242
Apache Shiro java反序列化漏洞复现 影响版本Apache Shiro <= 1.2.4环境搭建准备环境攻击机: Windows或者Linux (我用的是windows10 1903)、ysoserial-0.0.6-SNAPSHOT-all.jar、python环境、Java环境**靶机:**带docker的Linux就行靶机环境搭建获取docker镜像docker pull...
shrio反序列漏洞修复_Apache Shiro Java 反序列化漏洞分析
weixin_36003864的博客
01-17 1016
Author: rungobier(知道创宇404安全实验室)Date: 2016-08-030x00 概述Apache ShiroJava 的权限及安全验证框架中占用重要的一席之地,在它编号为550的 issue 中爆出严重的 Java 反序列化漏洞。下面,我们将模拟还原此漏洞的场景以及分析过程。0x01 漏洞场景还原首先,需要获取 Apache Shiro 存在漏洞的源代码,具体操作如下...
Apache Shiro Java反序列化漏洞复现-踩坑记录
飞鱼的企鹅的博客
09-29 9779
简介 这个漏洞属于java反序列化漏洞的一种,shirojava的一个开发框架,能够快速的搭建好应用程序的环境。 影响版本 Apache Shiro <= 1.2.4 环境搭建 制作war包 首先,需要获取 Apache Shiro 存在漏洞的源代码,具体操作如下: git clone https://github.com/apache/shiro.git cd /shiro git ch...
shiro反序列化漏洞
2403_82795493的博客
02-19 1353
Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532),当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。会存在一段base64加密的字段,解码后就是攻击者的回显内容。shiro721的加密key基本猜不到,系统随机生成,可以使用登陆后的rememberMe去爆破正确的key值,即利用有效的RememberMe Cookie作为。
Apache Shiro 组件反序列化漏洞分析
why811的博客
10-18 1476
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。为了让浏览器或服务器重启后用户不丢失登录状态,Shiro支持将持久化信息序列化并加密后保存在Cookie的rememberMe字段中,下次读取时进行解密再反序列化
Shiro框架漏洞总结
zhuyi666的博客
03-23 8726
Apache Shiro是一个强大且易用的Java安全框架,能够用于身份验证、授权、加密和会话管理。只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致反序列化漏洞Shiro拥有易于理解的API,您可以快速、轻松地获得任何应用程序——从最小的移动应用程序到最大的网络和企业应用程序。
Apache Shiro反序列化漏洞检测与利用工具的介绍
Shiro_exploit是一个工具脚本,用于检测和利用Apache Shiro存在的反序列化漏洞反序列化漏洞是应用程序在将序列化数据恢复为对象时的安全漏洞,攻击者可以构造特定的序列化数据,使得应用程序在反序列化过程中执行...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值