shiro-反序列化漏洞

Posted 2023-03-30 不会就跑路的小白

什么是shiro？

Apache Shiro 是一个强大易用的 Java 安全框架，提供了认证,授权,加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。

shiro rememberMe反序列化漏洞(Shiro-550)

漏洞原理

Apache Shiro框架提供了记住我的功能（RememberMe）,用户登陆成功后会生成经过加密并编码的cookie,在服务端接收cookie值后：
Base64解码=>AES解密=>反序列化。
攻击者只要找到AES加密的密钥(KEY),就可以构造一个恶意对象,对其进行：
序列化=>AES加密=>Base64编码,然后将其作为cookie的rememberMe字段发送,Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。

影响版本

Apache Shiro < 1.2.4

漏洞特征

Shiro框架默认指纹特征：在请求包的Cookie中为 rememberMe字段赋任意值,收到返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段,说明目标有使用Shiro框架,可以进一步测试。

Shiro 1.2.4版本默认固定密钥：

工具利用

输入检测的网址

点击下一步，勾选ceye.io

下一步，可以看到，检测出默认KEY

可以反弹到我们的Linux终端：

注意：在实战中通常使用漏洞集成工具进行检测，除此之外我们还可以通过构造请求包进行攻击！

Shiro Padding Oracle Attack（Shiro-721）

漏洞原理

由于Apache Shiro cookie中通过 AES-128-CBC 模式加密的rememberMe字段存在问题,用户可通过Padding Oracle 加密生成的攻击代码来构造恶意的rememberMe字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行。

影响版本

Apache Shiro < 1.4.2版本。

漏洞利用

首先,登录Shiro网站，从cookie中获得rememberMe字段的值：

打开工具,这里需要指定两个值,一个是url(登陆上去的url),并且提供一个有效的rememberMe Cookie(抓到的包中字段)。：

下来我们勾选ceye.io模式进行检测：

检测结束后出现如下字段即存在漏洞：

可以反弹shell到终端：

深入研究可以采取以下文章：https://mp.weixin.qq.com/s/WDmj4-2lB-hlf_Fm_wDiOg