Apache Shiro反序列化漏洞验证

一、漏洞背景

　　Apache Shiro是一个强大易用的Java安全框架，提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用，同时也能提供健壮的安全性。2016年，网络中曝光1.2.4以前的版本存在反序列化漏洞。尽管该漏洞已经曝光几年，但是在实战中仍然比较实用。

　　影响版本： Apache Shiro <= 1.2.4

二、漏洞原理

　　Apache Shiro框架提供了记住我的功能（RememberMe），用户登陆成功后会生成经过加密并编码的cookie。cookie的key为RememberMe，cookie的值是经过对相关信息进行序列化，然后使用aes加密，最后在使用base64编码处理形成的。

在服务端接收cookie值时，按照如下步骤来解析处理：

1、检索RememberMe cookie 的值

2、Base 64解码

3、使用AES解密(加密密钥硬编码)

4、进行反序列化操作（未作过滤处理）

在调用反序列化时未进行任何过滤，导致可以触发远程代码执行漏洞。

三、漏洞利用条件

　　由于使用来aes加密，要想成功利用漏洞则需要获取aes的加密密钥，而在shiro的1.2.4之前版本中使用的是硬编码。其默认密钥的base64编码后的值为kPH+bIxk5D2deZiIxcaaaA==。这里就可以通过构造恶意的序列化对象进行编码，加密，然后作为cookie加密发送，服务端接收后会解密并触发反序列化漏洞。

　　尽管目前已经更新了许多版本，官方并没有反序列化漏洞本身解决，而是通过去掉硬编码的密钥，使其每次生成一个密钥来解决该漏洞。但是，目前一些开源系统、教程范例代码都使用来固定的编码，这里我们可以通过搜索引擎、github等来收集密钥，提高漏洞检测与利用的成功率。

四、检测与利用

１、环境搭建

使用docker搭建

docker pull medicean/vulapps:s_shiro_1
docker run -d -p 80:8080 medicean/vulapps:s_shiro_1

访问80端口即可访问漏洞环境

２、目标发现与寻找

方法一、图形化工具

目前已出图形化界面工具，一键即可检测和getshell

工具地址：

https://github.com/feihong-cs/ShiroExploit

 

监听端口：

nc -lvp 9999

 

方法二

检查是否存在默认的key。 这里我们使用一个 Shiro_exploit，获取key Github项目地址：

git clone https://github.com.cnpmjs.org/insightglacier/Shiro_exploit.git
cd Shiro_exploit
python3.8 shiro_exploit.py -u http://172.16.20.206/

五、漏洞修复

升级到新版本。