深入利用Shiro反序列化漏洞

0x00：背景

​ shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞，shiro框架在java web登录认证中广泛应用，每一次目标较多的情况下几乎都可以遇见shiro，而因其payload本身就是加密的，无攻击特征，所以几乎不会被waf检测和拦截。

0x01：shiro反序列化的原理

先来看看shiro在1.2.4版本反序列化的原理

这里是shiro拿到cookie后的关键代码，先decrypt再反序列化

跟到decrypt方法

调用具体的cipherService，传入加密后的数据和cipherKey进行解密

getDeryptionCipherKey()获取的值也就是这个DEFALUT key，硬编码在程序中

查看CipherService接口的继承关系，发现其仅有一个实现类JcaCipherService（静态可以这样看，动态调试会直接跟进去）

查看实现类的decrypt方法，可以看到iv即ciphertext的前16个字节，因为iv由我们随机定义并附加在最后的ciphertext前面，也就是说只要知道key即可构造反序列化payload

key是硬编码，后续官方修改为获得随机key，但正如一开始所说，存在开源框架配置硬编码key，因此在1.4.2以前很多shiro都可以通过略微修改脚本遍历高频key的方式去攻击，下图举例，github上有很多类似这样的代码

CBC算法的shiro生成payload的关键代码如下，也就是我们通用的生成shiro攻击代码

python中有实现aes-cbc的算法，通过指定mode为AES-CBC，遍历key，随机生成iv，配合ysoserial的gadget即可生成payload

BS   = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    mode =  AES.MODE_CBC
    iv   =  uuid.uuid4().bytes
    file_body = pad(file_body)
    encryptor = AES.new(base64.b64decode(key), mode, iv)
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext

• 10-20我靠seo赚到的几百万收入
• 11-04摩拜单车和QQ合作 7天免押金 送免费骑行月卡
• 10-21探索Mimikatz-第2部分-SSP
• 05-12频繁GC导致CPU飙高问题解决方法
• 10-27某nc反序列化回显绕过
• 10-21利用DNS缓存和TLS协议将受限SSRF变为通用SS
• 05-19利用一处xss漏洞制作钓鱼页面
• 10-21记一次edu站点从敏感信息泄露到getshell
• 05-18HowDidIFindWeblogicT3RCE(CVE-2020-14756)
• 05-28.net反序列化之BinaryFormatter
• 10-20SEO工作一天的工作流程和内容有哪些？
• 11-12MySQL绕过小结
• 10-21NexusRepositoryUserComponent远程代码执行
• 11-16WeblogicIIOP协议NAT网络绕过