漏洞编号和级别 CVE编号:暂无,危险级别:高危,CVSS分值:官方未评定 影响版本 受影响的版本 Apache Shiro 1.2.5, 1.2.6, 1.3.0, 1.3.1, 1.3.2, 1.4.0-RC2, 1.4.0, 1.4.1版本。 漏洞概述 Apache Shiro是美国阿帕奇(Apache)软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。 Apache Shiro cookie中的通过AES-128-CBC模式加密的rememberMe字段存在问题,容易受到Padding Oracle攻击。攻击者通过使用RememberMe cookie作为Padding Oracle Attack的前缀,然后通过精心制作的RememberMe来执行Java反序列化攻击。 整个过程攻击者无需知道RememberMe的加密秘钥。并通过以下步骤发起攻击: 首先登录网站,并从cookie中获取rememberMe; 其次使用rememberMe cookie作为Padding Oracle攻击的前缀; 然后通过Padding Oracle攻击加密一条ysoserial工具中的Java序列化Payload来构造恶意rememberMe; 最后使用刚刚构造的恶意rememberMe重新请求网站,进行反序列化攻击,最终导致远程代码执行。 漏洞验证 该漏洞必须在登录Apache Shiro前提下可以利用成功,进行远程代码执行,漏洞复现如图所示: 登录 |