Shiro RememberMe 1.2.4 反序列化命令执行漏洞

释放双眼,带上耳机,听听看~!

网安引领时代,弥天点亮未来   




 


环境介绍

       Apache Shiro 在 Java 的权限及安全验证框架中占用重要的一席之地,在它编号为550的 issue 中爆出严重的 Java 反序列化漏洞。

下面,我们将模拟还原此漏洞的场景以及分析过程。


复现过程

一、 搭建漏洞环境

有大佬已经搭建了docker环境可以直接使用。在安装docker后执行命令拉取环境运行就有了漏洞环境了。(docker真是个好东西啊)

1.拉取环境到本地

docker pull medicean/vulapps:s_shiro_1

2.启动环境

docker run -d -p 80:8080 medicean/vulapps:s_shiro_1

因为我已经拉下来过了dockers环境了所以直接启动docker,在docker中将shiro环境的8080端口映射到了主机的80端口,所以直接访问127.0.0.1就可以了。

 

二、 漏洞分析

从官方的 issue 上来看,漏洞的利用点是在cookie里的rememberMe参数,这个参数的值是AES加密再base64之后设置在cookie中的。在服务端对rememberMe的cookie值的操作应该是先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。


服务端接收rememberMe的cookie值:

rememberMe的cookie值=>base64解码=>AES解密=>反序列化

我们要利用那么POC就需要先反序列化然后再AES加密最后base64编码


Payload产生的过程:

命令=>序列化=>AES加密=>base64编码=>payload

在shrio中AES加密有一个iv向量但是没有用到所以随机生成一个就了,重要的是密钥密钥,如果没有修改默认的密钥那么就很容易就知道密钥了,之后就是编写POC了。


三、 编写POC

       POC肯定是py写快一点鸭,需要用到java的反序列化工具ysoserial(在文末附上这个jar包的下载链接),py的Crypto模块,这个模块安装可能会出问题但是kali里py环境集成了这个模块。这里是一个简易版的POC只是生成一个payload然后使用,没有实现自动化。

POC代码如下:

 

四、 漏洞利用

先登陆,勾选remberme

然后抓包随便点一个页面包含有cookie参数的,这里抓的是登陆后的第一个包

在vps或同网段虚拟机中执行“python –m SimpleHTTPServer 8080”, 然后再使用poc生成payload,这里执行的是“wget http://127.0.0.1:7080/”,让其去访问我的服务器执行命令


修复建议

1、升级shiro版本

2、修改文件中硬编码的密钥


学海浩茫,

予以风动,
必降弥天之润!


   弥  天

安全实验室


本文源自微信公众号:弥天安全实验室

人已赞赏
安全工具

CSRF

2019-10-18 16:54:59

安全工具

利用Metasploit破解Tomcat登录密码并通过部署war包获得Getshell实战

2019-10-18 16:55:04

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索