shiro组件漏洞分析(一)

最新推荐文章于 2025-03-11 00:14:29 发布
原创 最新推荐文章于 2025-03-11 00:14:29 发布 · 340 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#graphql #安全 #web安全 #学习 #java

本文介绍了ApacheShiro1.2.4版本中的反序列化漏洞,涉及硬编码的AES密钥导致攻击者可构造恶意数据,通过控制序列化和反序列化过程进行潜在的恶意操作。作者提供了环境搭建和漏洞分析的详细步骤,包括无依赖和有依赖于commons-collections的情况。

shiro简介

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

官方网站:Apache Shiro | Simple. Java. Security.

shiro-550(CVE-2016-4437)

漏洞简介

官方issues:https://issues.apache.org/jira/browse/SHIRO-550

Apache Shiro框架提供了记住我(RememberMe)的功能,功能表现为关闭浏览器再次访问时无需再登录即可访问。shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操作。服务器端识别身份解密处理cookie的流程则是: 获取rememberMe cookie ->base64 解码->AES解密(加密密钥硬编码)->反序列化(未作过滤处理)

但是AES加密的密钥Key被硬编码在代码里,这就意味着每个人通过源代码都能拿到AES加密的密钥。因此,攻击者可以构造一个恶意的对象,并且对其序列化、AES加密、base64编码后,作为cookie的rememberMe字段发送。shiro将rememberMe进行解密并且反序列化,最终就造成了反序列化漏洞。如果在返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段,那么就可能存在此漏洞。

影响版本

Apache Shiro <= 1.2.4

环境搭建

直接使用shiro官方的samples-web进行分析

git clone https://github.com/apache/shiro.git
cd ./shiro
# 恢复到shiro-1.2.4版本
git checkout shiro-root-1.2.4

打包前需要对./shiro/samples/web/pom.xml进行一些修改:

     <!--  需要设置编译的版本 -->
     <properties>
        <maven.compiler.source>1.6</maven.compiler.source>
        <maven.compiler.target>1.6</maven.compiler.target>
    </properties>
...
    <dependencies>
        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>jstl</artifactId>
            <!--  这里需要将jstl设置为1.2,添加如下一行 -->
            <version>1.2</version> 
            <scope>runtime</scope>
        </dependency>
.....
        <!--  这里添加CC3.2.1库是为了方便演示有依赖的反序列化RCE -->
最低0.47元/天 解锁文章
why811
关注
框架漏洞(2)shiro
m0_73399576的博客
05-28 1041
知识面,决定看到的攻击面有多广。知识链,决定发动的杀伤链有多深。
框架、组件漏洞系列4:Apache shiro漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-14 4166
、Apache Shiro 简介 1、什么是shiro Apache Shiro提供了认证、授权、加密和会话管理功能,将复杂的问题隐藏起来,提供清晰直观的API使开发者可以很轻松地开发自己的程序安全代码。并且在实现此目标时无须依赖第三方的框架、容器或服务,当然也能做到与这些环境的整合,使其在任何环境下都可拿来使用。 Shiro将目标集中于Shiro开发团队所称的“四大安全基石”-认证(Authentication)、授权(Authorization)、会话管理(Session Management)和加.
Shiro框架漏洞看了你就会了(含靶场复现)网络安全零基础入门到精通实战教程!
白帽阿叁的博客
12-12 1775
CVE-2010-3863是Apache Shiro框架中存在的安全漏洞,它允许攻击者通过构造特定的URI请求来绕过身份验证和授权机制,从而访问受限的资源。这个漏洞主要影响Apache Shiro 1.1.0之前的版本以及JSecurity 0.9.x版本。CVE-2016-4437漏洞主要影响Apache Shiro的“rememberMe”功能,该功能允许用户在关闭浏览器后仍然保持会话。当该功能被启用时,Shiro会将用户的会话信息序列化并存储在个cookie中,以便在用户重新访问时恢复会话。
Shiro框架漏洞分析与复现
m0_59598029的博客
04-18 6666
ApacheShiro款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性,可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的Web 和企业应用程序。
Shiro框架漏洞
per_se_veran_ce的博客
12-25 945
漏洞简述 Shiro默认使用了CookieRememberMeManager, 其处理cookie的流程是: 得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化.然而AES的密钥是硬编码的, 密钥泄漏的根本原因是开发人员在开发过程中部分代码直接使用了网上的些开源的项目代码,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。 影响版本Apache Shiro <= 1.2.4 Docker容器 环境搭建 docker pull med
Shiro框架漏洞总结
zhuyi666的博客
03-23 8925
Apache Shiro个强大且易用的Java安全框架,能够用于身份验证、授权、加密和会话管理。只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致反序列化漏洞Shiro拥有易于理解的API,您可以快速、轻松地获得任何应用程序——从最小的移动应用程序到最大的网络和企业应用程序。
精选资源
Shiro反序列化漏洞Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了款测试工具,ShiroExploit。 测试工具下载地址 ... 反序列化漏洞是如何产生的?...
shiro-550漏洞利用流量分析
最新发布
小林说安全的博客
03-11 1184
本报告对test.pcap流量包(模拟shiro550漏洞利用攻击时抓的包)进行了全面分析,揭示了攻击者利用Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)向目标系统注入内存马的完整攻击链。
shiro漏洞复现
ubaichu的博客
09-16 1317
shiro漏洞复现
web中间件漏洞--shiro漏洞
qq_42404383的博客
12-14 1851
、初步认识shiro来源 是什么: Apache ShiroJava安全框架,执行身份验证、授权、密码和会话管理。 背景: 2016年,网络中曝光1.2.4以前的版本存在反序列化漏洞。尽管该漏洞已经曝光几年,但是在实战中仍然比较实用。 二、如何利用shiro漏洞 漏洞原理: Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie。cookie的key为RememberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密
ShiroJava原生反序列化漏洞
热门推荐
公众号shadow sock7
07-28 1万+
参考: http://www.lmxspace.com/2019/10/17/Shiro-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E8%AE%B0%E5%BD%95/ https://github.com/jas502n/Shiro_Xray 环境搭建 git clone https://github.com/apache/shiro.git # wget https://codeload.github.com/apache/shiro/zip/shiro-root-1
2020年8月17日,Apache Shiro框架漏洞
web15185420056的博客
03-31 242
昨日,Apache团队发布了则公告: 可以看到,在1.6之前的版本会被特定的http请求导致身份验证绕过,解决办法为升级到1.6之后的版本. Apache Shiro发布1.6.0版本修复该漏洞绕过。建议使用该框架的产品尽快采取措施阻止漏洞攻击。 影响版本:Apache Shiro < 1.6.0 安全版本:Apache Shiro >= 1.6.0 相关链接:https://lists.apache.org/thread.html/r539f87706094e79c5da082603038
Shiro-550漏洞详解及复现
m0_64481831的博客
03-07 3273
Shiro是Apache的个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。借助Shiro易于理解的API,用户可以快速轻松地保护任何应用程序----从最小的移动应用程序到最大的web和企业应用程序。ShiroJava安全框架,用于执行身份验证、授权、密码和会话验证。
Java代码审计-shiro反序列化漏洞分析
qq_44780157的博客
08-08 1591
Shiro550反序列化的漏洞原理分析
Apache shiro 漏洞总结
星落的博客
08-01 4963
Apache shiro 漏洞总结 Apache shiro个强大灵活的开源安全框架,可以完全处理身份验证、授权、密码和会话管理。
shiro反序列化漏洞
m0_63645854的博客
06-13 811
本文主要介绍了shiro反序列化漏洞的原理,影响版本以及防御方式
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值