0x00:背景
shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload本身就是加密的,无攻击特征,所以几乎不会被waf检测和拦截。
0x01:shiro反序列化的原理
先来看看shiro在1.2.4版本反序列化的原理
这里是shiro拿到cookie后的关键代码,先decrypt再反序列化
跟到decrypt方法
调用具体的cipherService,传入加密后的数据和cipherKey进行解密
getDeryptionCipherKey()获取的值也就是这个DEFALUT key,硬编码在程序中
查看CipherService接口的继承关系,发现其仅有一个实现类JcaCipherService(静态可以这样看,动态调试会直接跟进去)
查看实现类的decrypt方法,可以看到iv即ciphertext的前16个字节,因为iv由我们随机定义并附加在最后的ciphertext前面,也就是说只要知道key即可构造反序列化payload
key是硬编码,后续官方修改为获得随机key,但正如一开始所说,存在开源框架配置硬编码key,因此在1.4.2以前很多shiro都可以通过略微修改脚本遍历高频key的方式去攻击,下图举例,github上有很多类似这样的代码
CBC算法的shiro生成payload的关键代码如下,也就是我们通用的生成shiro攻击代码
python中有实现aes-cbc的算法,通过指定mode为AES-CBC,遍历key,随机生成iv,配合ysoserial的gadget即可生成payload
BS = AES.block_size
pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()