基础知识
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
Apache Shiro默认使用了CookieRememberMeManager,用户登录成功后会生成经过加密并编码的cookie,在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。
漏洞原理
Apache Shiro处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。
攻击时,脚本对命令的处理过程如下:命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值
在整个漏洞利用过程中,比较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很容易就知道密钥了,Payload构造起来也是十分的简单。
影响版本
Apache Shiro < 1.2.4
特征判断
返回包中包含rememberMe=deleteMe字段。
漏洞利用
复现过程基于同一台云主机,云主机内部靶场镜像开启shrio-CVE-2016-4437,文章内所有IP为同一个,请自行区分攻击方和受害方
本文涉及的脚本下载地址:
https://github.com/insightglacier/Shiro_exploit
1、dnslog平台
使用dnslog平台检验漏洞存在: