漏洞描述
Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。
那么,Payload产生的过程:
命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值
在整个漏洞利用过程中,比较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很容易就知道密钥了,Payload构造起来也是十分的简单
影响范围
Apache Shiro < 1.2.4
环境搭建
docker拉取镜像
docker pull medicean/vulapps:s_shiro_1
docker运行起来
docker run -d -p 8000:8080 medicean/vulapps:s_shiro_1
浏览器访问靶机ip地址加端口
rememberMe=delete
漏洞检测
反弹webshell
kali 监听
获取webshell
上马
CVE-2020-1957 Shiro 权限绕过漏洞
http://localhost:8080/xxxx/…;/admin/index