WEB安全--Java安全--shiro721反序列化漏洞

一、前言

既然我把shiro721和shiro550分开写,就说明两者是有区别的

不过两者的概念和作用也是大相径庭的,这里就不再赘述

可以参考上一篇文章:

WEB安全--Java安全--shiro550反序列化漏洞-CSDN博客

二、shiro721

2.1、原理

区别于shiro550的固定AES_key加密,shiro721用到的加密方式是AES-CBC,而且其中的AES加密的key基本猜不到了,是系统随机生成的。

但是服务端对请求包中的Cookie处理方式和shiro550的方式相同,也就意味着如果能伪造恶意的rememberMe字段的值且目标含有可利用的攻击链的话,还是能够进行RCE的。

所以现在的问题就是:如何知道AES-CBC的加密key呢?

通过Padding Oracle Attack攻击可以实现破解AES-CBC加密过程进而实现rememberMe的内容伪造。

2.2、Padding Oracle Attack

原理

Padding Oracle Attack 是一种针对使用填充方案的对称加密算法的攻击方式,尤其是那些使用 CBC(Cipher Block Chaining)模式的算法。攻击者可以利用填充错误消息(padding error messages)来逐步解密加密的消息。

而shiro721的AES加密算法正好采用的是CBC模式,通过工具爆破即可实现突破。

步骤

1、获取密文:攻击者首先需要获得目标的加密消息(密文)

2、构造攻击:攻击者会对密文的最后一个块进行修改。由于填充错误的反馈,攻击者可以逐字节地猜测填充的内容

3、逐字节解密:攻击者将密文块的最后一个字节修改为不同的值,并发送解密请求。根据服务器的响应(是填充错误还是成功),攻击者可以判断出填充是否正确。例如,假设最后一个字节是 0x01,如果攻击者将其修改为 0x00,0x01,0x02 等,观察服务器的响应。如果没有错误反馈,说明填充正确,攻击者就可以确定原始明文的最后一个字节

4、重复过程:攻击者逐步修改密文的每个字节,直到解密出整个明文。通过对每个块进行类似的操作,攻击者可以逐步得到完整的明文

2.3、利用条件

1、知道已经登陆用户的合法Cookie

2、目标服务器含有可利用的攻击链

2.4、利用思路总结

1、客户端首次用账号密码登录,勾选记住密码

2、响应包中的set-Cookie中存放着加密的用户信息密文

3、客户端再次访问服务端,请求包中的Cookie中就会存在rememberMe: 加密的用户信息密文

4、拦截这个请求包

5、构造payload(如CC链),将payload>>序列化>>AES加密>>base64编码

bash 复制代码
#参考ysoserial工具
java -jar ysoserial.jar CommonsBeanutils1 "touch /tmp/123" > payload.class

6、复制请求包中的rememberMe后的值

7、将其中的remember Me字段复制下来输入到shiro_exp工具中进行爆破和利用

bash 复制代码
python shiro_exp.py http://<hackerIP>/login.jsp <remember Me> payload.class

8、最终会生成恶意的rememberMe 密文,我们使用这个payload密文替换请求包中的rememberMe中的加密的用户信息密文

9、放包(请求包),服务端接收到我们更改后的请求包

10、JVM取出Cookie中的rememberMe中的密文进行>>base64解码>>AES解密>>反序列化

11、反序列化的readObject()触发CC链,实现命令执行

相关推荐
newxtc6 小时前
【浙江政务服务网-注册_登录安全分析报告】
运维·selenium·安全·政务
alex1008 小时前
API安全漏洞详解:Broken Function Level Authorization (BFLA) 的威胁与防御
网络·安全
leagsoft_100311 小时前
上新!联软科技发布新一代LeagView平台,用微服务重塑终端安全
科技·安全·微服务
网络安全-海哥12 小时前
2025网络安全前景与学习路线:抓住数字时代的安全机遇
学习·web安全·网络安全·网络攻击·转行
风语者日志13 小时前
攻防世界—easyupload
数据库·web安全·ctf·小白入门
用户479492835691513 小时前
什么是XSS攻击,怎么预防,一篇文章带你搞清楚
前端·javascript·安全
白帽子黑客罗哥13 小时前
云原生安全深度实战:从容器安全到零信任架构
安全·云原生·架构·零信任·容器安全·kubernetes安全·服务网络
TG_yunshuguoji14 小时前
亚马逊云代理商:怎么快速构建高安全区块链应用?
网络·安全·云计算·区块链·aws
喜欢你,还有大家14 小时前
企业安全防护之——防火墙
服务器·网络·安全
滑水滑成滑头14 小时前
**发散创新:探索零信任网络下的安全编程实践**随着信息技术的飞速发展,网络安全问题日益凸显。传统的网络安全防护方式已难以
java·网络·python·安全·web安全