本文详细介绍了Shiro框架中的反序列化漏洞,包括1.2.4版本前后的利用原理。从CBC模式到GCM模式的加密变化,以及如何检测key、实现回显和构建内存webshell。作者分享了针对不同版本Shiro的攻击方法,如通过 ysoserial 工具构造payload,并提到了其他安全研究人员的贡献和技术发展。
0x00:背景
shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload本身就是加密的,无攻击特征,所以几乎不会被waf检测和拦截。
0x01:shiro反序列化的原理
先来看看shiro在1.2.4版本反序列化的原理
这里是shiro拿到cookie后的关键代码,先decrypt再反序列化
跟到decrypt方法
调用具体的cipherService,传入加密后的数据和cipherKey进行解密
getDeryptionCipherKey()获取的值也就是这个DEFALUT key,硬编码在程序中
查看CipherService接口的继承关系,发现其仅有一个实现类JcaCipherService(静态可以这样看,动态调试会直接跟进去)
查看实现类的decrypt方法,可以看到iv即ciphertext的前16个字节,因为iv由我们随机定义并附加在最后的ciphertext前面,也就是说只要知道key即可构造反序列化payload
key是硬编码,后续官方修改为获得随机key,但正如一开始所说,存在开源框架配置硬编码key,因此在1.4.2以前很多shiro都可以通过略微修改脚本遍历高频key的方式去攻击,下图举例,github上有很多类似这样的代码
CBC算法的shiro生成payload的关键代码如下,也就是我们通用的生成shiro攻击代码
python中有实现aes-cbc的算法,通过指定mode为AES-CBC,遍历key,随机生成iv,配合ysoserial的gadget即可生成payload
BS = AES.block_size
pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
最低0.47元/天 解锁文章
扫一扫
3654
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
