漏洞原理
AES加密的密钥Key被硬编码在代码里,如何密钥Key被攻击者拿到,则可以直接构造恶意的对象,进行序列化,再通过AES加密和base64加密,最为cookie发送的服务端,服务端rememberMe进行解密后进行反序列化,则最终造成了反序列化漏洞
环境搭建
使用git项目在本地进行搭建
https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4
在pom.xml文件中配置
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>jstl</artifactId>
<version>1.2</version>
<scope>runtime</scope>
</dependency>
漏洞分析
shiro1.2.4版本中AbstractRememberMeManager类对传入的字节进行解密,并进行反序列化
其中deserialize方法调用了原生的readObject方法进行反序列化
继续看解密的方法
这里看到了getDecryptionCipherKey方法,感觉就像是默认的Key值,继续跟进
这里的decryptionCipherKey是一个常量,查看赋值的地方,最终在AbstractRememberMeManager的构造器中进行了赋值
默认是加密的一个字符串
接下来可以通过URLDNS链对漏洞进行验证
通过该链生成ser.bin文件,然后对通过python进行数据包的模拟发送
这里python代码用的白日梦组长的
将ser.bin文件进行AES加密和base64加密
这里需要把 JSESSIONID的值删除,就可以读取到rememberMe的值了
在burp中成功的进行DNS解析
这里尝试用CC6的链子打一下
发现服务端报错了
服务端无法加载Transformer类,这里看的白日梦组长大佬分析的,resolveClass方法中的loadClass方法不支持数组,导致链子无法使用,所以这里不能使用Transformer数组类
所以需要利用CC3中类加载的方式把payload写入字节中
将生成的ser.bin文件加密成rememberMe值,服务端解析后
成功执行反序列化RCE