shrio反序列化--漏洞复现

独木终成林

已于 2023-08-02 09:41:38 修改

阅读量914

点赞数

文章标签： docker 容器安全

于 2023-06-12 18:45:51 首次发布

本文链接：https://blog.youkuaiyun.com/DM_LL/article/details/130457604

版权

shrio反序列化–漏洞复现

一、漏洞原理

Apache Shiro框架提供了记住密码的功能（RememberMe），用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值，先base64解码然后AES解密再反序列化，就导致了反序列化RCE漏洞。
那么，Payload产生的过程：
命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值
在整个漏洞利用过程中，比较重要的是AES加密的密钥，如果没有修改默认的密钥那么就很容易就知道密钥了,Payload构造起来也是十分的简单
影响版本： Apache Shiro < 1.2.4
漏洞挖掘：响应包中包含rememberMe=deleteMe字段

二、环境搭建

docker-compose up -d  启动docker
docker-compose ps     查看运行状态
docker-compose down   关闭镜像（使用完后关闭）
docker pull medicean/vulapps:s_shiro_1  获取docker镜像  
systemctl restart docker    重启docker
docker run -d -p 8081:8080 medicean/vulapps:s_shiro_1     启动docker镜像

在这里插入图片描述

访问：http://192.168.123.138:8081/ 环境搭建成功

三、漏洞复现

尝试登录，发现相应包出现rememberMe=deleteMe字段；
$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-66ci0Qp0-1686566347035)(D:\Typora\imgs\image-20230502000945355.png)]$
使用burp抓取当前页面数据包，在cookie中添加rememberMe=1，在响应包中显示Set-Cookie: rememberMe=deleteMe，说明存在shiro框架，可能存在漏洞

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ua9a6VWT-1686566347036)(D:\Typora\imgs\image-20230502004312965.png)]$
使用shiro反序列化漏洞综合利用工具：双击直接使用或者在当前目录中开启cmd，然后输入以下命令：javaw -jar shiro_attack-4.5.5-SNAPSHOT-all.jar等方式，在data文件夹中存在一个shiro_keys.txt的文件，可自行添加key 在这里插入图片描述

命令执行查看权限

注入内存马试试

连接成功，getshell
在这里插入图片描述