本文详细介绍了Apache Shiro框架的反序列化漏洞,包括漏洞原理、影响版本、特征和解密流程。Shiro的RememberMe功能由于使用了硬编码的AES密钥,允许攻击者构造特定Payload,导致反序列化远程代码执行(RCE)。通过分析加密和解密过程,揭示了漏洞的利用方式。
环境配置:
IDEA搭建shiro550复现环境_普通网友的博客-CSDN博客
漏洞原理:
Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。
那么,Payload产生的过程:
命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值
在整个漏洞利用过程中,比较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很容易就知道密钥了,Payload构造起来也是十分的简单。
影响版本:
Apache Shiro <= 1.2.4
漏洞原理:
shiro反序列化主要就是对cookie进行的一系列操作, 也就是 选了 rememberme。他会对你的cookie 进行 操作。
特征
- 未登陆的情况下,请求包的cookie中没有rememberMe字段,返回包set-Cookie里也没有deleteMe字段
- 登陆失败的话,不管勾选RememberMe字段没有,返回包都会有rememberMe=deleteMe字段
- 不勾选RememberMe字段,登陆成功的话,返回包set-Cookie会有rememberMe=deleteMe字段。但是之后的所有请求中Cookie都不会有rememberMe字段
- 勾选RememberMe字段,登陆成功的话,返回包set-Cookie会有rememberMe=deleteMe字段,还会有rememberMe字段,之后的所有请求中Cookie都会有rememberMe字段
shiro 默认使用了 CookieRememberMeManager,其处理cookie的流程是:
得到rememberMe的cookie值 --> Base64解码 --> AES解密 --> 反序列化
然而AES的密钥是硬编码的,导致攻击者可以构造任意数据造成反序列化RCE,payload:
恶意命令-->序列化-->AES加密-->base64编码-->发送cookie
在整个漏洞中,比较重要的是AES的密钥。
加密分析:
Shiro <= 1.2.4 版本默认使用 CookieRememberMeManager。
而这个 CookieRememberMeManager 继承了 AbstractRememberMeManager 跟进看看。
此处有个 硬编码 DEFAULT_CIPHER_KEY_BYTES ,然后他又实现了 RememberMeManager接口,跟进去看看
实现了这些接口,看英文单词是 记住身份信息、忘记身份信息、登录成功、登录失败、已登录功能,既然这样,那么肯定会调用登录成功的这个接口,然后再去实现这个接口,所以我们在这里下个断点
这里我是勾选了这个 Remember me 的
最低0.47元/天 解锁文章
539
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
