前言
Shiro 是一个开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。
Apache Shiro在用户登陆成功后会生成经过加密并编码的cookie。cookie的key为RememberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密,最后在使用base64编码处理形成的。在调用反序列化时未进行任何过滤,导致可以触发远程代码执行漏洞。
changelog
-
新增shiro 检测方式(对,就是那个不需要gadget的检测方式)
检测
运行
java -cp .shiroPoc-1.0-SNAPSHOT-jar-with-dependencies.jar org.unicodesec.poc
java -cp .shiroPoc-1.0-SNAPSHOT-jar-with-dependencies.jar org.unicodesec.poc
http://localhost:8080/samples_web_war/
利用
支持shiro 16个key,支持攻击利用。支持的key与gadget以及攻击类型如下
查看目标服务器的系统信息
该攻击类型为XraySysProp,使用方法如下
java -jar .shiroPoc-1.0-SNAPSHOT-jar-with-dependencies.jar 16 CommonsCollections2 XraySysProp
利用截图如下
执行命令并回显
该攻击类型为XrayCmd 使用方法如下
java -jar .shiroPoc-1.0-SNAPSHOT-jar-with-dependencies.jar 16 CommonsCollections2 XrayCmd
利用截图如下
注意事项
-
建议删除不相关的http请求头,不然会因为http请求头过大而提示400错误
-
建议使用CommonsCollections2 gadget,体积小,利用率高
后台回复shiro 获取最新shiro利用/回显工具下载
后台回复source 获取该项目github地址
本文始发于微信公众号(宽字节安全):shiro 不需要dnslog gadget的探测方式(附工具下载)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论