漏洞复现—Shiro rememberMe反序列化漏洞CVE-2016-4437

本文详细介绍了Apache Shiro的rememberMe功能存在的反序列化漏洞(CVE-2016-4437),该漏洞允许攻击者通过构造恶意数据触发远程代码执行。内容包括漏洞原理、影响版本、特征判断以及多种漏洞利用方法,如使用dnslog平台、命令执行和加密反弹。提供了一个GitHub链接以获取相关脚本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

基础知识

  Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
  Apache Shiro默认使用了CookieRememberMeManager,用户登录成功后会生成经过加密并编码的cookie,在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。

漏洞原理

  Apache Shiro处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。
攻击时,脚本对命令的处理过程如下:命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值
  在整个漏洞利用过程中,比较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很容易就知道密钥了,Payload构造起来也是十分的简单。

影响版本

Apache Shiro < 1.2.4

特征判断

返回包中包含rememberMe=deleteMe字段。

在这里插入图片描述

漏洞利用


  复现过程基于同一台云主机,云主机内部靶场镜像开启shrio-CVE-2016-4437,文章内所有IP为同一个,请自行区分攻击方和受害方

  本文涉及的

### 关于Apache Shiro 550反序列化漏洞详情 对于Apache Shiro存在的反序列化漏洞,具体到CVE编号为CVE-2016-4437而非CVE-2022-42889。此漏洞存在于Apache Shiro<=1.2.4版本中,在返回包的Set-Cookie中存在`rememberMe=deleteMe`字段可以作为识别该漏洞的一个标志[^1]。 当应用程序使用了不安全的方式处理rememberMe功能时,攻击者可以通过构造恶意输入来触发Java对象的反序列化过程,从而执行任意代码。这一特性使得攻击者能够在服务器端运行未经许可的操作,造成严重的安全隐患[^3]。 为了检测是否存在上述提到的安全风险,可借助专门开发出来的工具如ShiroExploit来进行测试;这些工具能够帮助确认目标环境是否容易受到此类攻击的影响,并提供相应的证据支持[^4]。 ### 修复措施建议 针对已知的Apache Shiro反序列化漏洞(CVE-2016-4437),官方推荐升级至更高版本以获得最新的安全性改进和支持。除了及时更新软件外,还应采取其他预防性策略: - **禁用Remember Me功能**:如果业务逻辑允许的话,考虑完全关闭记住我的选项。 - **加强依赖库管理**:定期审查项目所使用的第三方组件及其版本号,确保它们都是最新且经过充分审计的状态。 - **实施严格的输入验证机制**:无论是来自客户端还是内部服务之间的通信数据都应该被仔细过滤和校验,防止潜在危险载荷进入系统核心区域。 ```bash # 更新Shiro到最新稳定版 mvn install:install-file -Dfile=/path/to/apache-shiro-core-latest.jar \ -DgroupId=org.apache.shiro \ -Dversion=<new_version> \ -Dpackaging=jar ```
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值