1.1 漏洞原理
Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。
那么,Payload产生的过程:
命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值
在整个漏洞利用过程中,比较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很容易就知道密钥了,Payload构造起来也是十分的简单。
1.2 影响版本:Apache Shiro < 1.2.4
1.3 特征判断:返回包中包含rememberMe=deleteMe字段。
1.4 漏洞利用
1.4.1 环境搭建
获取docker镜像
docker pull medicean/vulapps:s_shiro_1
启动docker镜像:
docker run -d -p 8080:8080 medicean/vulapps:s_shiro_1
1.4.2 工具准备
1、docker配置环境
首先使用docker进行环境配置,可以使用vulhub
然后再进入界面使用burpsuite进行检测发现有cookie
使用工具进行检测(网上开源工具很多,直接找个用就行)
1.5框架检测
在request的cookie中写入rememberMe=1,然后再来看response的set-cookie是否出现的rememberMe=deleteMe
1.6防御措施
1.确定自己使用的shiro版本要高于1.2.4;
2.在代码中全局搜索 “setCipherKey(Base64.decode(” 关键字,或者"setCipherKey"方法,Base64.decode()中的字符串就是shiro的密钥,要确保该密钥的安全性,千万不要使用公开的密钥