shrio反序列化–漏洞复现
一、漏洞原理
Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。
那么,Payload产生的过程:
命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值
在整个漏洞利用过程中,比较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很容易就知道密钥了,Payload构造起来也是十分的简单
影响版本: Apache Shiro < 1.2.4
漏洞挖掘: 响应包中包含rememberMe=deleteMe字段
二、环境搭建
docker-compose up -d 启动docker
docker-compose ps 查看运行状态
docker-compose down 关闭镜像(使用完后关闭)
docker pull medicean/vulapps:s_shiro_1 获取docker镜像
systemctl restart docker 重启docker
docker run -d -p 8081:8080 medicean/vulapps:s_shiro_1 启动docker镜像
访问:http://192.168.123.138:8081/ 环境搭建成功
三、漏洞复现
尝试登录,发现相应包出现rememberMe=deleteMe字段;
使用burp抓取当前页面数据包,在cookie中添加rememberMe=1,在响应包中显示Set-Cookie: rememberMe=deleteMe,说明存在shiro框架,可能存在漏洞
使用shiro反序列化漏洞综合利用工具:双击直接使用或者在当前目录中开启cmd,然后输入以下命令:javaw -jar shiro_attack-4.5.5-SNAPSHOT-all.jar等方式,在data文件夹中存在一个shiro_keys.txt的文件,可自行添加key
命令执行查看权限
注入内存马试试
连接成功,getshell