- 1C语言--编程将递增数列10、20、30、40、50、60、70、80、90、100保存到数组中,再从键盘输入一个整数,插入到该数列中,使之成为一个递增数列。_c语言递增数列
- 2【C++】设计类题目总结_c++毕业设计选题
- 3Python基础知识——字典:创建字典:七种方法_创建空字典
- 4Java自然语言处理工具包:实现文本处理和分析的工具_自然语言处理java插件
- 5Verilog学习之时序控制、语句块(1)
- 6CleanMyMac X2024最新免费激活码许可证号码
- 7【Android】【IDE】AndroidStudio3.5编译出现D8 Errors: Program type already present问题解决方案_d8: program type already present: layaair.game.bro
- 8在微信公众号中加入ChatGPT聊天的方法_chatgpt on wechat
- 9知道系统源码/知识问答系统源码/完整PC+手机端带功能强大后台管理系统_问答页源码
- 10CUDA_C_编程权指南 professional CUDA C++ programming chapter two CUDA编程模型 Programming Model_cuda c编程权威指南用的是什么软件
【Shiro反序列化漏洞】Shiro-550反序列化漏洞复现,2024年最新通用流行框架大全_shiro最新版本
赞
踩
先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
正文
根据漏洞描述,Shiro≤1.2.4版本默认使用CookieRememberMeManager,其处理cookie的流程是:
先获取cookie中的remberMe值 --> 对其base64解码 --> AES解码 --> 对解密的值反序列化
- 1
- 2
然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞
payload 构造的顺序则就是相对的反着来:
构造恶意命令 --> 序列化 --> AES加密 --> base64编码 --> 发送cookie值
- 1
- 2
- 3
在整个漏洞利用过程中,比较重要的是AES加密的密钥,该秘钥默认是默认硬编码的,所以如果没有修改默认的密钥,就自己可以生成恶意构造的cookie了。
给师傅们分享一个我很喜欢的博主画的理解图,这个还是很形象地展示了黑客攻击的流程。
0x3 靶场搭建
1、环境准备
- Ubantu(192.168.103.161)搭建靶场环境,先下载docker,然后利用docker安装vulhub
- kali(192.168.103.129)攻击机,用于接收靶机的反弹shell的
利用docker-compose启动靶场环境:
docker-compose up -d
- 1
- 2
在查看下镜像以及端口:
docker ps
- 1
- 2
然后浏览器访问192.168.103.161:8080/,得到下面的界面:
2、漏洞复现
我们先利用burp抓个登录包给大家看看rememberme字段是什么,再让大家更加好理解这个shiro漏洞。勾选记住密码选项后,点击登录,抓包,观察请求包中是否有rememberme字段,响应包中是否有Set-cookie:rememberMe=deleteMe字段。类似于下图这样:
我看了很多CSDN博主写的,判断其是否有shiro漏洞,总结分析如下:
- 未登陆的情况下,请求包的cookie中没有rememberMe字段,返回包set-Cookie里也没有deleteMe字段
- 登陆失败的话,不管勾选RememberMe字段没有,返回包都会有rememberMe=deleteMe字段
- 不勾选RememberMe字段,登陆成功的话,返回包set-Cookie会有rememberMe=deleteMe字段。但是之后的所有请求中Cookie都不会有rememberMe字段
- 勾选RememberMe字段,登陆成功的话,返回包set-Cookie会有rememberMe=deleteMe字段,还会有rememberMe字段,之后的所有请求中Cookie都会有rememberMe字段
shiro_attack工具
对于shiro550,其漏洞的核心成因是cookie中的身份信息进行了AES加解密,用于加解密的密钥应该是绝对保密的,但在shiro版本<=1.2.24的版本中使用了固定的密钥。
因此,验证漏洞的核心应该还是在于我们(攻击者)可否获得这个AES加密的密钥,如果确实是固定的密钥**kPH+bIxk5D2deZiIxcaaaA==**或者其他我们可以通过脚本工具爆破出来的密钥,那么shiro550漏洞才一定存在。
我们利用shiro_attack工具进行图形化的分析,下面是这个工具的下载地址:
链接:https://pan.baidu.com/s/1C408FR_n1t-XbIlbPLNczw?pwd=pso6
提取码:pso6
- 1
- 2
- 3
利用java -jar 启动里面的.jar文件
java -jar shiro_attack-2.2.jar
- 1
- 2
我们可以看到,这个图形化的工具就很清楚检测出这个url存在shiro框架,并且还爆破出来了shiro550的迷人AES加密的key值:kPH+bIxk5D2deZiIxcaaaA==,这样就可以证明这个url存在shiro漏洞。
我们还可以进行命令执行等操作
BurpShiroPassiveScan.jar插件
我们还可以直接使用burp的抓包工具里面的插件,下面是下载链接:
百度网盘下载:
https://pan.baidu.com/s/1LFRF34kHKG5LljboSpjSkA
提取码:j43f
- 1
- 2
- 3
- 4
我们直接在burp里面添加这个插件
当BurpSuite抓取到Shiro的数据包时会自动进行检测Key,当发现存在Shiro默认key时会有相应的告警
构造cookie,反弹shell
1、
先kali监听:
┌──(root声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/盐析白兔/article/detail/570396Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。
