Shiro反序列化命令执行漏洞分析
一、shiro组件介绍
Apache Shiro是一个强大且易用的Java安全框架,执行身份认证、授权、加密和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
二、漏洞分析
shiro版本:<=1.2.24
漏洞触发点
org.apache.shiro:shiro-core.DefaultSecurityManager的resolvePrincipals函数位置。再该函数位置下断点,使用如下带有rememberMe的Cookie参数发起请求。
断点位置
跟进该函数
Base64解密返回byte字节数组
继续跟进函数converBytesToPrincipals函数
decrype就是解密函数,deserialize将解密后的字节码进行反序列化。
跟进decrype函数就能发现固定的秘钥
跟进deserialize函数
就是熟悉的readObject()函数
三、分析总结
接收到rememberMe以后先进行base64解密,再进行AES解密,然后再进行反序列化,进而触发漏洞。
payload的构造思路
先生成反序列化的字节码,然后进行AES加密,再进行base64加密。