黑客
登录
客服
网络安全
网络安全,渗透测试

深入利用Shiro反序列化漏洞

围观人数:4326 日期:2020/11/3 10:50:35

0x00:背景

​ shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload本身就是加密的,无攻击特征,所以几乎不会被waf检测和拦截。

0x01:shiro反序列化的原理

先来看看shiro在1.2.4版本反序列化的原理

这里是shiro拿到cookie后的关键代码,先decrypt再反序列化

跟到decrypt方法

调用具体的cipherService,传入加密后的数据和cipherKey进行解密

getDeryptionCipherKey()获取的值也就是这个DEFALUT key,硬编码在程序中

查看CipherService接口的继承关系,发现其仅有一个实现类JcaCipherService(静态可以这样看,动态调试会直接跟进去)

查看实现类的decrypt方法,可以看到iv即ciphertext的前16个字节,因为iv由我们随机定义并附加在最后的ciphertext前面,也就是说只要知道key即可构造反序列化payload

key是硬编码,后续官方修改为获得随机key,但正如一开始所说,存在开源框架配置硬编码key,因此在1.4.2以前很多shiro都可以通过略微修改脚本遍历高频key的方式去攻击,下图举例,github上有很多类似这样的代码

CBC算法的shiro生成payload的关键代码如下,也就是我们通用的生成shiro攻击代码

python中有实现aes-cbc的算法,通过指定mode为AES-CBC,遍历key,随机生成iv,配合ysoserial的gadget即可生成payload

BS   = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    mode =  AES.MODE_CBC
    iv   =  uuid.uuid4().bytes
    file_body = pad(file_body)
    encryptor = AES.new(base64.b64decode(key), mode, iv)
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext
vip

最新文章

推荐文章

热门文章

黑客技术 黑客软件 黑客教程 黑客书籍

关于我们 | 免责声明 | 学员守则 | 广告服务 | 联系我们

©2013-2021 xf1433.com 版权所有

本站资源仅供用于学习和交流,请遵循相关法律法规