Java框架Shiro、漏洞工具利用、复现以及流量特征分析

最新推荐文章于 2025-07-18 09:42:45 发布
最新推荐文章于 2025-07-18 09:42:45 发布
阅读量895 收藏 6
点赞数 9
CC 4.0 BY-SA版权
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xt350488/article/details/141472774

Shiro流量分析

前言

 博客主页:

靶场:Vulfocus 漏洞威胁分析平台

Shiro(Apache Shiro)是一个强大且灵活的开源安全框架,专为Java应用程序提供安全性解决方案。它由Apache基金会开发和维护,广泛应用于企业级应用程序和Web应用程序中。Shiro的设计目标是简化应用程序的安全性配置和开发过程,提供易于使用的API和丰富的功能。

本文主要介绍了Java框架Shiro和shiro工具的流量特征,以及Shiro-550漏洞的复现

CVE-2016-4437

image-20240820160942234

登录界面

image-20240820145112169

正常的流量包

返回包set-Cookie⾥没有 deleteMe字段的,返回包甚至都没有set-Cookie

image-20240820192051239

登录失败的流量特征

看到一个结果

image-20240820145250040

抓包,输入错误的密码,他就会返回一个rememberMe=deleteMe,那么百分百是shiro框架,不管是否勾选记住密码,返回包都会有rememberMe=deleteMe字 段

image-20240820163100507

登录成功的流量特征

image-20240820190749089

这时候再去请求别的页面就会有这个cookie特征,未登陆的情况下,请求包的cookie中没有rememberMe字段

image-20240820164428402

没有登录的情况下,请求包的cookie中没有rememberMe字段,返回set-Cookie也没有deleteMe字段

不勾选RememberMe字段,登陆成功的话,返回包set-Cookie会有rememberMe=deleteMe 字段。

image-20240820192904683

但是之后的所有请求中Cookie都不会有rememberMe字段

image-20240820193157179

勾选RememberMe字段,登陆成功的话,返回包set-Cookie会有rememberMe=deleteMe字 段,还会有rememberMe字段,

image-20240820193331380

之后的所有请求中Cookie都会有rememberMe字段

image-20240820193502353

工具爆破的流量特征

工具的第一步就是去判断网站是否使用了shiro框架,开始之前,先设置工具代理,把流量转发到burp suite

image-20240820195409246

就可以得到如下数据包,它添加了一个Cookie: rememberMe=yes

image-20240820195957611

看看返回数据包,他也有一个Set-Cookie:rememberMe,也就是登录失败,通过这个值来判断是否是shiro框架

image-20240820200329510

密匙爆破流量分析,当成功之后就会有一个设置一个cookie:rememberMe

image-20240820201413181

发送请求,爆破成功的set-cookie就没有rememberMe的值

image-20240820201704358

我在cookie中随便添加几个字母/数字,他也会提示Set-Cookie: rememberMe=deleteMe,密匙爆破失败

image-20240820202514146

成功后,还不能直接获得webshell,还需要爆破利用链和回显

利用链爆破流量分析

如果在秘钥正确的情况下,进行利用链爆破

image-20240820195825657

利用链爆破失败流量

和密匙/浏览器登录流量一样,只要登录/爆破失败就会返回一个Set-Cookie:rememberMe=deleteMe

image-20240820204241985

利用链爆破成功流量

当cookie非常长的时候。如果在研判 中发现cookie非常长,并且返回包状态码为200,那就要考虑网站是否被入侵了!

image-20240820204149009

成功之后才能执行系统命令,获取flag

image-20240820154057801

系统命令流量分析

执行命令时候的流量特征就是,rememberme 非常长,并且返回值是加密的,执行命令ls,在响应包中会出现三个$

image-20240820205004956

ls -a

image-20240820205137667

注入内存马流量

上传蚁剑一句话马

image-20240820154131935

上传的过程流量

image-20240820213245120

正常连接

image-20240820154830344

攻防打点|Shiro漏洞利用大全【附工具
jijisaq的博客
04-22 6409
这两款工具的使用方法,输入存在的shiro的url,点击爆破密钥,找到密钥后点击爆破利用链及回显即可。如果想要命令执行,点击命令执行,输入命令点击执行即可 有key无链的情况下可以尝试使用shiro_tool工具进行利用 使用方法:java -jar shiro_tool.jar https://xx.xx.xx.xx。在打点中有一大堆的目标,使用手工一个一个判断是不现实的,所以我们需要借助工具进行探测,如一些web指纹识别工具。学习效率低,学不到实战内容,花几千、上万报机构没有性价比。
详细shiro漏洞复现利用方法(CVE-2016-4437)
热门推荐
dreamthe的博客
04-26 3万+
该篇文章比较详细的介绍shiro漏洞利用,无论是shiro漏洞图形化工具利用,还是shiro漏洞结合JRMP我觉得比大多数文章都详细,如果你对网上结合JRMP反弹shell不是很明白,非常推荐来看看这篇文章。另外漏洞利用工程中用到的工具以及代码都上传到百度网盘,供大家使用,在文章最后哦。
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1
Shiro 可视化利用工具
白昼小丑的博客
07-10 2305
ShiroExploit Shiro 可视化利用工具(beta 免责声明 该项目仅供合法的渗透测试以及爱好者参考学习,请各位遵守《中华人民共和国网络安全法》以及相应地方的法律,禁止使用该项目进行违法操作,否则自行承担相关责任 目前已实现: 支持密钥爆破以及 CBC/GCM 两种加密模式 可修改特征头,可进行 GET/POST 发包,可选择对应的 Content-Type 支持检测利用链是否可用(Tomcat) 支持命令执行回显(Tomcat) 支持多版本 jar ,目前依赖中 Comm..
shiro、struts2、weblogic特征流量分析
2302_81945070的博客
06-03 1158
shiro、struts2、weblogic特征流量分析
shiro 用法
比你优秀的人比你还要努力
06-21 2556
最近在做项目的时候需要用到shiro做认证和授权来管理资源 在网上看了很多文章,发现大多数都是把官方文档的简介摘抄一段,然后就开始贴代码,告诉你怎么怎么做,怎么怎么做 相信很多小伙伴即使是跟着那些示例代码做完配完,并且成功搭建,估计也是一头雾水,可能会不理解,为什么要这么做 本人也是在看了大量文章之后,然后又自己动手搭了一便,得出如下使用的感悟,特此分享给大家 依照程序,我要在这里对...
apche shiro漏洞检测和利用工具
07-30
Shiro命令执行工具 V1.0 提供默认Key的查询 摘取xray高级版 xray利用链 100+个KEY已注释!!!! 声明:本工具仅供学习使用,禁止任何用于非法途径,如果使用该工具参与非法活动与本人无任何关系,本人不承担任何责任!
shiro550漏洞复现分析
Re_ly0n的博客
05-12 852
远程调试环境 本地搭建环境有点麻烦,索性就直接起docker,然后远程调试。进入vulnhub启动docker环境,使用exec命令进入容器 查看进程发现存在漏洞环境的jar包,docker cp 打包到本地使用jar -xvf XXX.jar解压jar包,解压完成的目录结构 将shirodemo-1.0-SNAPSHOT.jar包添加到libraries 再将BOOT-INF添加到Modules中 紧接着修改下dockerfile,如下 version: '2' serv
Vulhub:Shiro[漏洞复现]
如有错误感谢斧正
12-07 1300
Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。在Apache Shiro 1.1.0以前的版本中,shiro 进行权限验证前未对url 做标准化处理,攻击者可以构造`/`、`//`、`/./`、`/../` 等绕过权限验证。在Apache Shiro 1.5.2以前的版本中,在使用Spring动态控制器时,攻击者通过构造`..;服务启动后,访问`http://your-ip:8080`可使用`admin:vulhub`进行登录。
Shiro-550 漏洞复现
qq_46440393的博客
03-15 2337
开始时间:2022/3/14 14:15 1、什么是shiro ? Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 2、shiro 可以用来干什么? 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人
聚焦于 Java 安全和框架漏洞复现、代码审计等内容的项目,同时还涉及 Java 基础语法以及日常知识点的分享
11-04
Java 安全领域,详细记录了诸如 Jackson、SnakeYaml 等的序列化漏洞利用方式,还包含了 Shiro、Weblogic、MyBatis 等众多流行框架漏洞分析与 exp,为安全研究人员和开发者提供了丰富的实际案例和攻击手段参考...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
ShiroExploit.V2.3rce图形化利用.zip
06-25
ShiroExploit.V2.3 shiro远程命令执行 550 721 一键漏洞利用 rce 图形化利用.zip
Shiro漏洞利用工具
seoppg的博客
05-29 745
Shiro漏洞利用工具
shiroshiro反序列化漏洞综合利用工具v2.2(下载、安装、使用)
小王的技术库
04-03 918
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等。④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking。③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现。③常见协议解析(HTTP、TCP/IP、ARP等)④等保简介、等保规定、流程和规范。③网络安全运营的概念。
shiro反序列化漏洞学习(工具+原理+复现
qq_49849300的博客
03-10 1万+
由于shiro反序列化需要用到AES加密,而该加密方法的密钥是加解密一致的,所以我们使用shiro反序列化时,AES加密的密钥必须跟服务器一致,所以经常需要盲猜服务器的密钥,好在java开发们一般都不会去修改它,而且常常直接copy论坛和github上的代码,所以可以大量收集各种密钥,然后遍历来完成反序列化漏洞利用。反过来,把字节序列(json/xml)恢复为Java对象的过程就叫反序列化。"方法,Base64.decode()中的字符串就是shiro的密钥,要确保该密钥的安全性,千万不要使用公开的密钥。
Shiro漏洞工具的使用
m0_67403076的博客
04-07 2218
文章目录 01 下载ShiroExploit.V2.3,并运行.jar 02 运行后的界面 03输入测试的url 04 选择检测方式 05 判断是否存在漏洞的依据 06 反弹shell 01 下载ShiroExploit.V2.3,并运行.jar 在github上直接搜索下载 有源码,可以自己编译成.jar 02 运行后的界面 Shiro550无需选择操作系统类型, Shiro721需要选择操作系统类型 复杂Http请求支持直接粘贴数据包 03输入测试的url 可以自己直接
shiro反序列化漏洞简介以及利用工具
最新发布
qq_32947907的博客
07-18 537
Apache Shiro反序列化漏洞分析利用 摘要:Apache Shiro是一个Java安全框架,其cookie中的rememberMe参数存在反序列化漏洞。攻击者可利用漏洞实现RCE,利用过程涉及序列化、AES加密和base64编码。漏洞利用需要获取密钥(默认密钥易被破解)和找到合适的利用链。检测工具包括Burp插件,可识别Shiro使用和密钥,利用工具可爆破密钥和利用链。指纹特征为响应包中的rememberme=deleteMe字段。
shiro漏洞流量特征
09-13
### 回答1: Shiro漏洞是指Apache Shiro框架的安全漏洞,攻击者可以利用漏洞来绕过Shiro框架的身份验证和访问控制机制,从而进行未授权访问等攻击。Shiro漏洞流量特征包括: 1. HTTP请求中含有”/shiro/”字符; 2. HTTP请求中含有”rememberMe”参数; 3. HTTP请求中含有”JSESSIONID”参数; 4. HTTP响应中含有”org.apache.shiro.subject.SimplePrincipalCollection”字符; 5. HTTP响应中含有”rememberMe=deleteMe”字符。 注意:这些特征并不是一定会出现,攻击者可能会使用各种不同的技术来隐藏攻击行为,因此不能完全依赖这些特征来检测Shiro漏洞攻击。最好的方法是对Shiro框架进行及时更新,以修复可能存在的漏洞。 ### 回答2: Shiro漏洞是指Apache Shiro开源安全框架中存在的潜在漏洞。它是一种身份验证和授权框架,用于保护应用程序免受未经授权的访问。然而,如果配置不正确或使用不当,Shiro可能会暴露应用程序的风险。 Shiro漏洞流量特征是指与Shiro漏洞相关的网络流量的特点。通过分析流量特征,可以检测和识别潜在的Shiro漏洞攻击。 首先,Shiro漏洞流量通常涉及到对特定URL的请求。攻击者通常会发送针对Shiro特定漏洞的请求,例如使用反序列化或绕过Shiro的认证请求。 其次,Shiro漏洞攻击可能包含特定的HTTP头信息。攻击者通常会在请求头中添加特定的标识,以触发Shiro框架漏洞。 另外,Shiro漏洞流量可能会包含异常或错误的响应。攻击者可能会利用漏洞来触发Shiro框架的错误处理逻辑,从而暴露更多的信息。 此外,Shiro漏洞攻击可能具有异常的访问行为。攻击者可能会尝试多次请求相同的资源,或者在短时间内发送大量请求,以尝试突破Shiro的认证或授权机制。 通过监测和分析网络流量,可以检测到这些特征,并采取相应的防护措施,如修补Shiro框架漏洞、配置正确的访问控制策略等,以防止Shiro漏洞攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

泷羽Sec

公众号【小羽网安】

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值