shiro漏洞复现及其攻击流量分析

前言

最近面试时经常被问到，每次说的都不太完美，现在再来复现一边。

shiro介绍

Apache Shiro是一个开源安全框架，提供身份验证、授权、密码学和会话管理。

CVE-2016-4437

利用vulhub搭建的靶场。

在Apache Shiro <= 1.2.4版本中存在反序列化漏洞。

该漏洞成因在于，Shiro的“记住我”功能是设置cookie中的rememberMe值来实现。当我们给rememberMe赋值时，它会经过一下过程。

1. 检索cookie中RememberMe的值
2. Base64解码
3. 使用AES解密
4. 反序列化

当我们知道了AES加解密时的密钥（该密钥是写死在代码中）时，我们便可以去修改rememberMe的值，改造其readObject()方法，让其在反序列化时执行任意操作。

服务器接收数据后的流程为

1. 读取cookie中rememberMe值
2. base64解码
3. AES解密
4. 反序列化

使用工具来执行命令。

利用wireshark来抓取流量。

回显时会有一串base64加密的值，代表着命令执行成功。

总结：CVE-2016-4437的攻击流量特征有

1. 请求包Cookie的rememberMe中会存在AES+base64加密的一串java反序列化代码。
2. 返回包中存在base64加密数据，该数据可作为攻击成功的判定条件。

如果攻击者利用其反弹shell，还可以通过对rememberMe中的数据解码来获得反弹的ip地址。

shrio550和721的区别

1. 主要区别在于Shiro550使用已知默认密码，只要有足够的密码，不需要Remember Cookie的
2. Shiro721的ase加密的key为系统随机生成，需要利用登录后的rememberMe去爆破正确的key值。利用有效的RememberMe Cookie作为Padding Oracle Attack的前缀，再去构造反序列化攻击。

CVE-2020-1957

在Spring web项目中，请求URI/resource/menus和/resource/menus/都可以访问到服务器的资源。

但在Shiro中的URL路径表达式pathPattern可以正确匹配/resource/menus，但不能正确匹配/resource/menus/，导致过滤链无法正确匹配，从而绕Shiro的防护机制

直接访问/xxx/…;/admin/可以绕过权限校验访问到管理页面

该漏洞的流量分析只能去看请求头加ip的访问频繁次数来判断是否为测试。