美文网首页Kali Linux@IT·互联网
反序列化漏洞原理详解

反序列化漏洞原理详解

作者: 顶风作案7号 | 来源:发表于2021-12-18 21:00 被阅读0次

    Apache shiro简介

    Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

    本文针对Shiro进行了一个原理性的讲解,从源码层面来分析了Shiro的认证和授权的整个流程,并在认证与授权的这个流程讲解冲,穿插说明rememberme的作用,以及为何该字段会导致反序列化漏洞。

    Apache shiro认证

    在该小节中我们将会详细讲解Shiro是如何认证一个用户为合法用户的
    Shiro漏洞环境测试代码修改自Vulhub中的CVE-2016-4437。
    首先是Shiro的配置文件,代码如下所示

    @Configuration
    public class ShiroConfig {
        @Bean
        MainRealm mainRealm() {
            return new MainRealm();
        }
    
        @Bean
        RememberMeManager cookieRememberMeManager() {
            return (RememberMeManager)new CookieRememberMeManager();
        }
    
        @Bean
        SecurityManager securityManager(MainRealm mainRealm, RememberMeManager cookieRememberMeManager) {
            DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
            manager.setRealm((Realm)mainRealm);
            manager.setRememberMeManager(cookieRememberMeManager);
            return (SecurityManager)manager;
        }
    
        @Bean(name = {"shiroFilter"})
        ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
            ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
            bean.setSecurityManager(securityManager);
              //设置登录页面uri
            bean.setLoginUrl("/login");
              //设置登录失败页面uri
            bean.setUnauthorizedUrl("/unauth");
    
            Map<String, String> map = new LinkedHashMap<>();
            map.put("/doLogin", "anon");
            map.put("/doLogout", "authc");
            map.put("/user/add","perms[user:add]");
            map.put("/user/update","perms[user:update]");
            map.put("/user/delete","perms[user:delete]");
            map.put("/user/select","perms[user:select]");
            map.put("/**", "authc");
    
            bean.setFilterChainDefinitionMap(map);
    
            return bean;
        }
    }
    
    

    【一>所有资源获取<一】
    1、200份很多已经买不到的绝版电子书
    2、30G安全大厂内部的视频资料
    3、100份src文档
    4、常见安全面试题
    5、ctf大赛经典题目解析
    6、全套工具包
    7、应急响应笔记
    8、网络安全学习路线

    然后是Controller的代码

    @Controller
    public class UserController {
        @PostMapping({"/doLogin"})
        public String doLoginPage(@RequestParam("username") String username, @RequestParam("password") String password, @RequestParam(name = "rememberme", defaultValue = "") String rememberMe) {
            Subject subject = SecurityUtils.getSubject();
            try {
                subject.login(new UsernamePasswordToken(username, password, rememberMe.equals("remember-me")));
            } catch (AuthenticationException e) {
                return "forward:/login";
            }
            return "forward:/";
        }
    
        @RequestMapping({"/doLogout"})
        public String doLogout() {
            Subject subject = SecurityUtils.getSubject();
            subject.logout();
            return "forward:/login";
        }
    
        @RequestMapping({"/"})
        public String helloPage() {
            return "hello";
        }
    
        @RequestMapping({"/unauth"})
        public String errorPage() {
            return "error";
        }
    
        @RequestMapping({"/login"})
        public String loginPage() {
            return "loginUser";
        }
    
        @RequestMapping({"/user/add"})
        public String add(){
            return "/user/add";
        };
    
        @RequestMapping({"/user/delete"})
        public String delete(){
            return "/user/delete";
        };
    
        @RequestMapping({"/user/update"})
        public String update(){
            return "/user/update";
        };
    
        @RequestMapping({"/user/select"})
        public String select(){
            Subject subject = SecurityUtils.getSubject();
            return "/user/select";
        };
    
    }
    
    

    最后是Realm

    public class MainRealm extends AuthorizingRealm {
    
        @Autowired
        UserServiceImpl userService;
    
        /**该方法用来为登陆的用户进行授权*/
        @Override
        protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
            System.out.println("执行了=>授权doGetAuthorizationInfo");
            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
            Subject subject = SecurityUtils.getSubject();
            System.out.println(subject.isAuthenticated());
            System.out.println(subject.isRemembered());
            if(!subject.isAuthenticated()){
                return null;
            }
            Users users = (Users) subject.getPrincipal();
    
            if(users.getPerm()!=null){
                String[] prems = users.getPerm().split(";");
                info.addStringPermissions(Arrays.asList(prems));
            }
    
            return info;
        }
    
        /**该方法用来校验登陆的用户*/
        @Override
        protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
            System.out.println("执行了=>认证doGetAuthenticationInfo");
            Subject subject= SecurityUtils.getSubject();
            System.out.println(subject.isAuthenticated());
            System.out.println(subject.isRemembered());
            UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) authenticationToken;
            String username = usernamePasswordToken.getUsername();
            char[] password = usernamePasswordToken.getPassword();
    
            Users users = userService.queryUserByName(username);
    
            if (users.getUsername()==null){
                return null;
            }
            return new SimpleAuthenticationInfo(users,users.getPassword(),"");
    
        }
    }
    
    

    这里来看一下自定义的MainRealm的类继承和实现关系图

    image.png

    Realm所起到的作用通常是获取后台用户的相关信息,然后获取前端传递进来的用户信息,将二者封装好然后交由shiro进行认证比对从而判断用户是否为合法用户,然后在用户访问后台资源时,为用户授予指定好的权限。
    那么认证是怎么认证的呢?下面来从Shiro源码的角度来进行详细的分析。
    首先是登陆页面,和登陆页面的代码。

    image.png

    当点击Singn in按钮的时候 后台对应的Controller就会执行
    但是在执行到Controller之前,Shiro会进行一个操作,如下所示

    image.png

    首先就是Shiro的Filter,在Shiro的配置文件中,通过@Bean注解让SpringBoot在启动的时候自动装配了当前方法的返回值,也就是一个ShiroFilterFactoryBean对象,该对象的类继承关系如下所示。

    image.png

    该类实现了SpringFrameWork中的FactoryBean接口和BeanPostProcessor接口。SpringBoot在启动的时候会扫描当前目录以及子目录下所有.java文件的注解,然后进行装配,这一过程中就会调用FactoryBean.getObject()方法。也就是FactoryBean的实现类ShiroFilterFactoryBean.getObject()方法,

    image.png

    在shiroFilter的执行的堆栈中,会创建一个Subject,Subject是Shiro中很重要的一个概念,简单来说就是当前所操作的用户。当前线程中的用户所进行的认证和授权等等操作,都会以操作这个Subject对象来进行,所以Subject也被称之为主体,最终实例化的是一个WebDelegatingSubject对象。
    请求继续往下执行,来到UserController.doLoginPage()方法,该方法中会调用Subject.login()方法,并传入一个UsernamePasswordToken 对象。这个UsernamePasswordToken从这个类的名字我们就可以猜出这个类是用来做什么的,跟进该类中看一下

    image.png

    从这个类提供的方法和属性就可以看出来,UsernamePasswordToken类就是一个单纯的pojo类,登陆时的用户名和密码以及对应的ip信息都会在这个类中暂时存放。
    跟进Subject.login()方法,经过一系列的调用来到了ModularRealmAuthenticator.doAuthenticate,该方法会获取我们自定义的Realm并一次进行调用,我们自定义的Realm是文章开头的MainRealm,所谓的Realm,就是对传入的用户进行认证和授权的地方,Realm的自定义需要继承自AuthorizingRealm,Realm我们可以自定义多个,只需要将自定义好的多个Realm放入一个Collection对象中,然后在配置文件中通过SecurityManager.setRealms()传入,这样在Shiro在认证时就会依次调用我们自定义的Realms,Shiro本身也自带有一些Reamls可以直接调用,如下图所示

    image.png

    自定义的Realm有两个方法必须要实现,分别是继承自AuthencationgRealm的doGetAuthenticationInfo()方法,和AuthorizingRealm的doGetAuthorizationInfo方法,如下图所示

    image.png

    下面根据程序执行流程,先讲doGetAuthenticationInfo,根据之前所讲调用subject.login()方法时会调用到我们自定义的Realm的doGetAuthenticationInfo方法,我们在该方法中的实现非常简单,即从后台数据库中根据用户名进行查询用户是否存在,如果存在则将查询出来的数据封装成Users对象,然后将封装好的Users对象传入和查询出的该用户的密码一同传入SimpleAuthenticationInfo类构造方法中并进行返回。
    这一步说是用来进行用户的认证,但是不难发现,该方法中并没有对用户的密码进行校验,那么真正的校验点在哪里呢,在如下图所示的位置

    image.png

    在AuthenticatingRealm的getAuthenticationInfo方法中不仅调用了我们自定义的MainRealm中的doGetAuthenticationInfo方法,还调用了自身的assertCredentialsMatch方法,如下图所示,而assertCredentialsMatch方法就是用来校验前端传递来的用户名和密码,以及后台从数据库查询出的密码进行比对的。

    image.png

    在assertCredentialsMatch方法中跟如cm.doCredentialsMatch(token, info),然后就可以看到shiro如何进行用户密码比对的了。

    image.png

    token是前端传入的用户名和密码封装成的UsernamePasswordToken对象,info是从数据库中查询出的数据封装成的SimpleAuthenticationInfo对象,如此一来,获取二者的密码,进行equals比对,相同则程序继续执行,不相同则抛出异常,返回登陆界面。
    那么Shiro认证到这里就结束了么?当然不是,之前提到过,Shiro中有一个概念叫Subject,Subject代表的就是用户当前操作的主体,在这第一次登陆认证中我们也是通过调用了一个Subject对象的login方法才进行的身份验证,但是在这个Subject中是没有任何的用户信息的,当用户的信息通过校验之后,Shiro又会实例化一个WebDelegatingSubject,而这个位置就在DefaultSecurityManager的login方法中,如下图所示

    image.png

    我们之前看到的认证过程就在authenticate方法里,身份真正成功后会返回用户的信息,封装在一个SimplePrincipalCollection对象里,如果认证失败,则会抛出异常。
    认证成功后,Shiro就会根据当前用户的一些信息,再创建一个Subject,后续该用户进行的任何操作都会以这个Subject为主,授权也是Shiro给这个Subject进行授权。
    如此以来我们就了解了Shiro是如何认证一个用户的,下面来总结一下Shiro认证用户的一个思路,首先在用户没有进行认证的时候访问一些资源,Shiro会生成一个Subject,这个Subject没有任何的用户信息。当用户开始登陆,Shiro会调用Subject的login方法,对用户的用户名和密码进行校验,校验通过后,会生成一个新的Subject,后续用户的授权等操作,都会基于这个新生成的Subject。

    Apache Shiro授权

    看完了Shiro的认证过程,接下来我们来看Shiro的授权过程。
    我们将每位用户所拥有的授权都存入数据库中如下所示

    image.png

    这里以admin为例,来分析下Shiro授权的过程。
    书接上文Shiro认证部分,认证完成功Shiro会生成一个新的Subject,而shiro的授权过程也就是围绕着这个Subject来进行的,那么Shiro何时会为用户进行授权行为呢?
    在之前的内容中说过,自定义的Realm有两个方法必须要实现,分别是继承自AuthencationgRealm的doGetAuthenticationInfo()方法,和AuthorizingRealm的doGetAuthorizationInfo方法。
    doGetAuthenticationInfo()方法我们已经清楚了,是用来进行用户身份验证的,而doGetAuthorizationInfo()方法就是用来进行用户授权的。
    再回顾一下之前的配置文件中我们为每个资源所授予的访问权限,权限如下所示。

     @Bean(name = {"shiroFilter"})
        ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
            ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
            bean.setSecurityManager(securityManager);
            bean.setLoginUrl("/login");
            bean.setUnauthorizedUrl("/unauth");
            /**
             * anon:无需认证就可以访问
             * authc: 必须认证了才能访问
             * user: 必须拥有记住我功能才能访问
             * perms: 拥有对某个资源的权限才能访问
             * role: 拥有某个角色权限才能访问
             * */
            Map<String, String> map = new LinkedHashMap<>();
            map.put("/doLogin", "anon");
            map.put("/doLogout", "authc");
            map.put("/user/add","perms[user:add]");
            map.put("/user/update","perms[user:update]");
            map.put("/user/delete","perms[user:delete]");
            map.put("/user/select","perms[user:select]");
            map.put("/**", "authc");
    
            bean.setFilterChainDefinitionMap(map);
    
            return bean;
        }
    
    

    我们在doGetAuthorizationInfo()方法中下断点,当已经经过认证的用户访问制定资源的时候,shiro就会调用doGetAuthorizationInfo()方法来为该用户进行授权,具体怎么执行到该方法的就不细说了,将调用链粘贴一下。

    image.png

    doGetAuthorizationInfo()方法的具体实现如下所示

        protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
            String name = getName();
            System.out.println("执行了=>授权doGetAuthorizationInfo");
            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
          //获取当前用户的subject
            Subject subject = SecurityUtils.getSubject();
            System.out.println(subject.isAuthenticated());
            System.out.println(subject.isRemembered());
            if(!subject.isAuthenticated()){
                return null;
            }
    //        Users users = userService.queryUserByName((String) subject.getPrincipal());
          //
          //获取当前用户的信息
            Users users = (Users) subject.getPrincipal();
                //判断当前用户的权限字段是否为空,如果不为空的话就传入SimpleAuthorizationInfo的addStringPermissions方法中。
            if(users.getPerm()!=null){
                String[] prems = users.getPerm().split(";");
                info.addStringPermissions(Arrays.asList(prems));
            }
    
            return info;
        }
    
    

    之前在认证的那一步中,我们将数据库中的数据封装成一个Users对象,该对象存放入了Subject中,doGetAuthorizationInfo()方法中我们将其取出。
    在该方法中,我们所做的只是将用户数据库中的权限字段取出然后封装入一个SimpleAuthorizationInfo对象中,并进行返回,我们跟随看一下Shiro后续的操作。
    在获取完当前用户的权限后,堆栈返回到AuthorizingRealm的isPermitted方法中,该方法又调用了isPermitted()方法,isPermitted()方法就是用来判断用户是否有权限访问指定资源的方法。
    isPermitted()方法具体内容如下所示

    image.png

    该方法会讲用户所拥有的权限循环遍历出来,然后和当前资源所需要访问权限进行一一比对,如果相同则返回true。那么比对规则是怎样的呢?
    跟进implies()方法,内容如下所示

    image.png

    这里简述一下比对的规则,当前资源所需的访问权限[user:add],对于shiro来说所谓的访问权限不过就是一串字符串而已,shiro会将[user:add]以“:”进行分割,分割成user和add两个字符串,而假如用户具有[user:add],和[user:select]这两个权限,第一次循环就是判断[user:select]和[user:add]是否相同,会首先判断“:”之前的字符串是否相同,也就是user这部分是否相同,相同则继续,不相同则返回false。判断相同以后,会第二次循环判断“:”之后的部分是否相同,也就是add和select。那自然是不相同的,所以返回false。shiro接下来会继续判断[user:add]和[user:add]是否相同。
    这就是shiro授权和鉴权的代码流程,也是shiro的核心。了解了shiro的这部分内容之后,我们接下来就该讲CVE-2016-4437这个漏洞的具体内容了。

    Apahce Shiro反序列化漏洞的根源

    shiro在用户登陆的时候,除了用户名和密码以外 还有一个可传递的选项,也就是shiro发序列化漏洞产生的根源,Rememberme。
    Rememberme的核心作用时什么呢?就是用户在登录时勾选rememberme选项,Cookie中就会增加一个rememberme字段,该字段中会存储一些序列化数据,开发者可以指定rememberme字段的有效时间,同时开发者可以指定一些资源,这些资源允许携带rememberme字段的用户访问,由于rememberme是存储在浏览器中的,并在用户的每一次请求中被携带,所以只要不清除Cookie,用户就可以在rememberme的有效时间内,无需再次登陆,就可以访问指定资源。在不勾选rememberme的情况下,通常就是浏览器关闭,会话就会立刻结束,活着等待一段时间后结束,届时用户想要访问一些资源则需要重新登陆,勾选rememberme后,即使推出浏览器结束与服务端的会话,rememberme仍然存储在浏览器中,重新打开浏览器访问指定资源,浏览器在请求时仍会携带上rememberme,如此一来就不需要重新登陆了。
    那么接下来就来分析rememberme是如何生成,以及如何实现无需登录即可访问指定资源的。
    如果登陆的时候不勾选rememberme选项的情况下,Shiro是不会生成rememberme的,勾选了rememberme选项后,才会在认证的过程中生成该值。
    生成rememberme的位置在DefaultSecurityManager的login方法中,如下图所示。

    image.png

    位置就是在Shiro完成用户认证,生成一个新的Subject之后。跟进onSuccessfulLogin()方法,经过嵌套调用,来到AbstractRememberMeManager的onSuccessfulLogin方法,

    image.png

    在该方法中,会先判断此次请求中remebmberme字段是否存在,如果存在则调用rememberIdentity()方法,想要知道rememberme中存储了什么东西那么就要继续深入。

    image.png

    这里是获取到了一个PrincipalCollection对象,继续深入。

    image.png

    接下来就是将这个PrincipalCollection转化成byte数组。这个方法很关键,我们需要跟入看一下

    image.png

    看到这里大家应该就明白了,Shiro为什么会有反序列化漏洞,以及rememberme所传递的数据就究竟是什么,其实就是一个序列化后的PrincipalCollection对象,而这个encrypt就是通过AES来加密序列化后的数据,密钥呢?当然就是硬编码在AbstractRememberMeManager类中的这段base64编码后的字符串了,如下图所示

    image.png

    最后的最后,Shiro会将这段加密后的数据base64编码一遍,然后放入Cookie中,至此Shiro生成rememberme的过程就结束了

    image.png

    那么知道了rememberme是怎么加密生成的,那么自然也就可以很轻易的解密了,尤其还是在密钥硬编码在代码中的这种情况,下面是解密的demo

    image.png

    那么反序列化漏洞产生的点在哪里呢?当用户在登录时勾选了rememberme的时候,Shiro会返回一个rememberme通过Cookie字段传递,然后存储在浏览器中,正常情况下当用户关闭浏览器或者手动删除浏览器中存储的SesseionID的时候,与服务端的当前会话就结束了,当下次打开浏览器再此访问服务端的时候,就需要重新登录。而勾选了rememberme的用户登录后,关闭浏览器后,会话同样会关闭,但是下次打开浏览器请求访问服务端的时候,Cookie中会携带Rememberme来进行请求,从而达到无需登录的效果。
    漏洞的产生关键就在于再重新建立会话的这个过程,所以想要触发rememberme的话请求包中就不能有SessionID,删除SessionID后再携带rememberme进行一次请求就可以触发rememberme的反序列化点,如下图所示

    image.png

    最终通过base64解码,然后AES解密,解密后的结果再经过反序列化,就还原成了一个PrincipalCollection对象,至此Shiro rememberme的生成以及作用,还有如何触发rememberme反序列化,都已讲解完毕。

    image.png

    总结

    Apache Shiro是一款相当优秀的认证授权框架,虽然在护网等大型攻防项目中,经常被作为突破口,但是仍然瑕不掩瑜,shiro的反序列化在流量识别中是比较容易判断的,因为序列化数据的传递必须要通过Cookie中的rememberme字段,但是纵使识别出来,但是如果不知道密钥的话,也无法得知传递的内容。

    相关文章

      网友评论

        本文标题:反序列化漏洞原理详解

        本文链接:https://www.haomeiwen.com/subject/fergfrtx.html