shiro-反序列化漏洞

Posted 不会就跑路的小白

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了shiro-反序列化漏洞相关的知识,希望对你有一定的参考价值。

什么是shiro?

Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证,授权,加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。

shiro rememberMe反序列化漏洞(Shiro-550)

漏洞原理

Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie,在服务端接收cookie值后:
Base64解码=>AES解密=>反序列化。
攻击者只要找到AES加密的密钥(KEY),就可以构造一个恶意对象,对其进行:
序列化=>AES加密=>Base64编码,然后将其作为cookie的rememberMe字段发送,Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。

影响版本

Apache Shiro < 1.2.4

漏洞特征

Shiro框架默认指纹特征:在请求包的Cookie中为 rememberMe字段赋任意值,收到返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段,说明目标有使用Shiro框架,可以进一步测试。

Shiro 1.2.4版本默认固定密钥:

工具利用

输入检测的网址

点击下一步,勾选ceye.io

下一步,可以看到,检测出默认KEY

可以反弹到我们的Linux终端:

注意:在实战中通常使用漏洞集成工具进行检测,除此之外我们还可以通过构造请求包进行攻击!

Shiro Padding Oracle Attack(Shiro-721)

漏洞原理

由于Apache Shiro cookie中通过 AES-128-CBC 模式加密的rememberMe字段存在问题,用户可通过Padding Oracle 加密生成的攻击代码来构造恶意的rememberMe字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行。

影响版本

Apache Shiro < 1.4.2版本。

漏洞利用

首先,登录Shiro网站,从cookie中获得rememberMe字段的值:


打开工具,这里需要指定两个值,一个是url(登陆上去的url),并且提供一个有效的rememberMe Cookie(抓到的包中字段)。:

下来我们勾选ceye.io模式进行检测:

检测结束后出现如下字段即存在漏洞:

可以反弹shell到终端:


深入研究可以采取以下文章:https://mp.weixin.qq.com/s/WDmj4-2lB-hlf_Fm_wDiOg

以上是关于shiro-反序列化漏洞的主要内容,如果未能解决你的问题,请参考以下文章

[Java安全]Shiro RememberMe 1.2.4反序列化漏洞分析

shiro-反序列化漏洞

漏洞复现Shiro<=1.2.4反序列化漏洞

浅谈近期复现 shiro反序列化漏洞的一些心得

CVE-2016-4437 Apache Shiro 1.2.4反序列化漏洞复现

【CVE-2016-4437】Shiro反序列化漏洞复现