今天某个大佬教了我一个新的漏洞知识(能每天跟某大佬学习就是开心),就是shiro反序列化漏洞。真的是学无止境啊!赶紧趁着夜深人静来网上码一码相关知识,学习学习相关概念,复现漏洞的话等我再牛逼一点慢慢补上吧~。
Shiro-550 CVE-2016-4437
1.1 shiro介绍
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
1.2 漏洞影响版本
Apache Shiro < 1.2.4
1.3 漏洞原理
shiro反序列化漏洞的关键就在于它记住我的这个功能(RememberMe),就是我们日常生活中经常看见的那个“记住密码”。用户登录成功后会生成经过加密并编码的cookie。cookie的key为RememberMe,其值是对信息做了序列化处理,即先进行了AES加密,再进行Base64编码形成。
在服务端接收cookie值时,按照如下步骤来解析处理:
1、检索RememberMe cookie 的值
2、Base 64解码
3、使用AES解密
4、进行反序列化操作(未作过滤处理)
如果攻击者把攻击的命令当成字段内容去进行请求,那么在调用反序列化时未进行任何过滤的结果就会把这个命令执行。其中最重要的是,AES的密钥在shiro中是默认的,如果未进行更改就很容易通过爆破知道该密钥从而解密AES。
1.4 漏洞利用方式
参考:Shiro反序列化漏洞利用汇总 - 腾讯云开发者社区-腾讯云
(1)反弹shell
(2)写入文件
(3)一键自动化漏洞利用工具
1.5 补:序列化和反序列化
序列化:
序列化是将复杂的数据结构(例如对象及其字段)转换为字节序列的过程。以便在网络上传输或者保存在本地文件中。
进行序列化之后,在传递和保存对象的时候,对象的状态以及相关的描述信息依旧是完整的并且可进行传递。
序列化机制的核心作用就是对象状态的保存与重建。反序列化:
反序列化是将字节流还原为原始对象的过程,反序列化之后的对象其状态与序列化时的状态完全相同。然后,网站的逻辑可以与此反序列化的对象进行交互,就像与任何其他对象进行交互一样。
许多编程语言为序列化提供本机支持。对象的确切序列化方式取决于语言。某些语言将对象序列化为二进制格式,例如JAVA;而其他语言则使用不同的字符串格式,序列化之后的字节序列都具有不同程度的可读性,并且,所有原始对象的属性都存储在字节序列中。