什么是shiro?
Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证,授权,加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。
shiro rememberMe反序列化漏洞(Shiro-550)
漏洞原理
Apache Shiro框架提供了记住我的功能(RememberMe),用户登陆成功后会生成经过加密并编码的cookie,在服务端接收cookie值后:
Base64解码=>AES解密=>反序列化。
攻击者只要找到AES加密的密钥(KEY),就可以构造一个恶意对象,对其进行:
序列化=>AES加密=>Base64编码,然后将其作为cookie的rememberMe字段发送,Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。
影响版本
Apache Shiro < 1.2.4
漏洞特征
Shiro框架默认指纹特征:在请求包的Cookie中为 rememberMe字段赋任意值,收到返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段,说明目标有使用Shiro框架,可以进一步测试。
Shiro 1.2.4版本默认固定密钥:
工具利用
输入检测的网址
点击下一步,勾选ceye.io
下一步,可以看到,检测出默认KEY
可以反弹到我们的Linux终端:
注意:在实战中通常使用漏洞集成工具进行检测,除此之外我们还可以通过构造请求包进行攻击!
Shiro Padding Oracle Attack(Shiro-721)
漏洞原理
由于Apache Shiro cookie中通过 AES-128-CBC 模式加密的rememberMe字段存在问题,用户可通过Padding Oracle 加密生成的攻击代码来构造恶意的rememberMe字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行。
影响版本
Apache Shiro < 1.4.2版本。
漏洞利用
首先,登录Shiro网站,从cookie中获得rememberMe字段的值:
打开工具,这里需要指定两个值,一个是url(登陆上去的url),并且提供一个有效的rememberMe Cookie(抓到的包中字段)。:
下来我们勾选ceye.io模式进行检测:
检测结束后出现如下字段即存在漏洞:
可以反弹shell到终端:
