WEB安全--Java安全--shiro721反序列化漏洞

一、前言

既然我把shiro721和shiro550分开写,就说明两者是有区别的

不过两者的概念和作用也是大相径庭的,这里就不再赘述

可以参考上一篇文章:

WEB安全--Java安全--shiro550反序列化漏洞-CSDN博客

二、shiro721

2.1、原理

区别于shiro550的固定AES_key加密,shiro721用到的加密方式是AES-CBC,而且其中的AES加密的key基本猜不到了,是系统随机生成的。

但是服务端对请求包中的Cookie处理方式和shiro550的方式相同,也就意味着如果能伪造恶意的rememberMe字段的值且目标含有可利用的攻击链的话,还是能够进行RCE的。

所以现在的问题就是:如何知道AES-CBC的加密key呢?

通过Padding Oracle Attack攻击可以实现破解AES-CBC加密过程进而实现rememberMe的内容伪造。

2.2、Padding Oracle Attack

原理

Padding Oracle Attack 是一种针对使用填充方案的对称加密算法的攻击方式,尤其是那些使用 CBC(Cipher Block Chaining)模式的算法。攻击者可以利用填充错误消息(padding error messages)来逐步解密加密的消息。

而shiro721的AES加密算法正好采用的是CBC模式,通过工具爆破即可实现突破。

步骤

1、获取密文:攻击者首先需要获得目标的加密消息(密文)

2、构造攻击:攻击者会对密文的最后一个块进行修改。由于填充错误的反馈,攻击者可以逐字节地猜测填充的内容

3、逐字节解密:攻击者将密文块的最后一个字节修改为不同的值,并发送解密请求。根据服务器的响应(是填充错误还是成功),攻击者可以判断出填充是否正确。例如,假设最后一个字节是 0x01,如果攻击者将其修改为 0x00,0x01,0x02 等,观察服务器的响应。如果没有错误反馈,说明填充正确,攻击者就可以确定原始明文的最后一个字节

4、重复过程:攻击者逐步修改密文的每个字节,直到解密出整个明文。通过对每个块进行类似的操作,攻击者可以逐步得到完整的明文

2.3、利用条件

1、知道已经登陆用户的合法Cookie

2、目标服务器含有可利用的攻击链

2.4、利用思路总结

1、客户端首次用账号密码登录,勾选记住密码

2、响应包中的set-Cookie中存放着加密的用户信息密文

3、客户端再次访问服务端,请求包中的Cookie中就会存在rememberMe: 加密的用户信息密文

4、拦截这个请求包

5、构造payload(如CC链),将payload>>序列化>>AES加密>>base64编码

bash 复制代码
#参考ysoserial工具
java -jar ysoserial.jar CommonsBeanutils1 "touch /tmp/123" > payload.class

6、复制请求包中的rememberMe后的值

7、将其中的remember Me字段复制下来输入到shiro_exp工具中进行爆破和利用

bash 复制代码
python shiro_exp.py http://<hackerIP>/login.jsp <remember Me> payload.class

8、最终会生成恶意的rememberMe 密文,我们使用这个payload密文替换请求包中的rememberMe中的加密的用户信息密文

9、放包(请求包),服务端接收到我们更改后的请求包

10、JVM取出Cookie中的rememberMe中的密文进行>>base64解码>>AES解密>>反序列化

11、反序列化的readObject()触发CC链,实现命令执行

相关推荐
key061 小时前
《数据出境安全评估办法》企业应对策略
网络·人工智能·安全
AORO20251 小时前
遨游科普:什么是对讲机?没有网络的山区对讲机可以用吗?
网络·5g·安全·信息与通信
Hello.Reader4 小时前
Kafka 安全SASL 认证全栈实战从 JAAS 到 Kerberos、PLAIN、SCRAM、OAUTH 与委托令牌
分布式·安全·kafka
xixixi777774 小时前
SOC(安全运营中心)
网络·安全·soc·安全运营中心
lypzcgf15 小时前
Coze源码分析-资源库-编辑插件-后端源码-安全与错误处理
安全·插件·coze·coze源码分析·智能体平台·ai应用平台·agent平台
粟悟饭&龟波功15 小时前
【网络安全】一、入门篇:读懂 HTTP 协议
安全·web安全·http
骥龙16 小时前
粤港澳全运会网络安全防御体系深度解析:威胁态势与实战防护
网络·安全·web安全
安娜的信息安全说18 小时前
企业身份认证系统选型:Azure AD 与 Keycloak 功能详解
安全·microsoft·keycloak·azure ad
安当加密19 小时前
SLA操作系统双因素认证实现Windows远程桌面OTP双因子安全登录—从零搭建企业级RDP安全加固体系
windows·安全
你的人类朋友20 小时前
HTTP请求结合HMAC增加安全性
前端·后端·安全