一、前言
什么是shiro?
shiro是一个Apache的Java安全框架
它的作用是什么?
Apache Shiro 是一个强大且灵活的 Java 安全框架,用于处理身份验证、授权、密码管理以及会话管理等功能
二、shiro550反序列化原理
1、用户首次登录并勾选记住密码功能,第一个请求包会多一个remember-me的参数
2、然后第一个回包中就会将用户登录信息进行**>>序列化>>AES加密>>base64编码** ,并将该值存到Cookie的rememberMe参数中,并返回给客户端
3、当客户端发起第二个请求包时,该数据包中的Cookie就会携带rememberMe和它的值(密文)
然后服务端取出Cookie中的密文进行**>>base64解码>>AES解密>>反序列化**,然后就能取出用户登录信息进行校验
三、漏洞原因
在AES加解密的过程中,使用的是相同的秘钥,而在shiro版本<=1.2.24的版本中使用了固定的密钥kPH+bIxk5D2deZiIxcaaaA==,
所以攻击者就能通过相同的方式伪造Cookie中的密文,写入恶意代码,在服务端对Cookie中的数据进行反序列化时就会执行恶意代码。
图示:
四、利用思路总结
在我们知道shiro550版本框架存在反序列化漏洞后,就可以通过下面方式实现命令执行:
1、客户端首次用账号密码登录,勾选记住密码
2、响应包中的set-Cookie中存放着加密的用户信息密文
3、客户端再次访问服务端,请求包中的Cookie中就会存在rememberMe: 加密的用户信息密文
4、拦截这个请求包
5、构造payload(如CC链),将payload>>序列化>>AES加密>>base64编码
6、用构造的payload密文替换请求包中的rememberMe中的加密的用户信息密文
7、放包(请求包),服务端接收到我们更改后的请求包
8、JVM取出Cookie中的rememberMe中的密文进行>>base64解码>>AES解密>>反序列化
9、反序列化的readObject()触发CC链,实现命令执行