java反序列化提取payload之xray 高級版的shiro回顯poc的提取過程

本文中xray高級版shiro payload來源於雷石安全實驗室公衆號發佈的shiroExploit.jar

感謝雷石安全實驗室,雷石安全實驗室牛逼

本文主要描述如何從shiro的payload中提取有效payload。該方法適合從各種java反序列化漏洞中提取payload

0x01 前言

某日小夥伴發來雷石安全實驗室的shiro利用工具,據稱payload提取自xray。利用如下

0x02 反編譯雷石利用工具

首先拖入idea中反編譯,查看如何利用payload。代碼如下

t是遍歷數組的下標變量

不得不說,當我看到這人寫的代碼時,心中一萬個草泥馬飄過。第一次看到這樣遍歷數組的方式!!!!再看一下變量命名,濃郁地鄉村非主流風格。雷石安全實驗室寫的代碼,自帶混淆,牛皮。

payload呢,原來是xray已經生成並加密的,一共430個。所以我們的問題變爲如何從這430個已加密的payload中提取未加密的內容

0x03 shiro payload解密

根據shiro漏洞的原理,shiro的cookie通過如下方式加密, key爲kPH+bIxk5D2deZiIxcaaaA==解碼後的內容

base64Encode(iv+aes(java serialize object))

而java反序列化後的數據,以aced開頭。於是我們可以使用shiro默認密鑰,批量解密上面的430個key。如果正常解密,且解密後的數據以正確的magic number開頭。則保存文件。代碼如下

    public static String bytesToHex(byte[] bytes) {
        StringBuffer sb = new StringBuffer();
        for(int i = 0; i < bytes.length; i++) {
            String hex = Integer.toHexString(bytes[i] & 0xFF);
            if(hex.length() < 2){
                sb.append(0);
            }
            sb.append(hex);
        }
        return sb.toString();
    }

    public static byte[] decrypt(byte[] cipherTextBytes, byte[] pwdBytes, byte[] iv) {
        try {
// 1 獲取解密密鑰
            SecretKeySpec keySpec = new SecretKeySpec(pwdBytes, ENCRY_ALGORITHM);
// 2 獲取Cipher實例
            Cipher cipher = Cipher.getInstance(CIPHER_MODE);
// 查看數據塊位數 默認爲16(byte) * 8 =128 bit
// System.out.println("數據塊位數(byte):" + cipher.getBlockSize());
// 3 初始化Cipher實例。設置執行模式以及加密密鑰
            IvParameterSpec iv1 = new IvParameterSpec(iv);//使用CBC模式,需要一個向量iv,可增加加密算法的強度
            cipher.init(Cipher.DECRYPT_MODE, keySpec, iv1);
// 4 執行
            byte[] clearTextBytes = cipher.doFinal(cipherTextBytes);
// 5 返回明文字符集
            return clearTextBytes;
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        } catch (InvalidKeyException e) {
            e.printStackTrace();
        } catch (NoSuchPaddingException e) {
            e.printStackTrace();
        } catch (BadPaddingException e) {
            e.printStackTrace();
        } catch (IllegalBlockSizeException e) {
            e.printStackTrace();
        } catch (Exception e) {
            e.printStackTrace();
        }
// 解密錯誤 返回null
        return null;
    }

    public static void main(String... args) throws IOException {
        for(int i = 0; i< xray.cookie.length; i++){
            String payload = xray.payloads(i);
            System.out.println(payload);
            byte[] rawpayloadBytes = Base64.decode(payload);
            byte[] key = Base64.decode("kPH+bIxk5D2deZiIxcaaaA==");
            int ivSize = key.length;
            byte[] iv = new byte[ivSize];
            System.arraycopy(rawpayloadBytes, 0, iv, 0, ivSize);
            byte[] payloadBytes = new byte[rawpayloadBytes.length - ivSize];
            System.arraycopy(rawpayloadBytes, ivSize, payloadBytes, 0, payloadBytes.length);
                byte[] result = EncryptUtil.decrypt(payloadBytes, key, iv);
                if (result != null){
                    String hexResult = bytesToHex(result);
                    if (hexResult.startsWith("aced")) {
                        System.out.println(payload);
                        new FileOutputStream(new File("res.ser")).write(result);
                    }
                }
        }
    }

結果通過010editor查看如下

0x04 查看java反序列化數據

通過SerializationDumper工具即可查看

shiro中通過反序列化漏洞回顯,需要執行自定義的java代碼。查看ysoserial代碼,執行自定義代碼,需要通過com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet的方式,編寫一個繼承自該類的class,讀取字節碼並設置_bytecodes,代碼如下

所以我們的重點在於如何提取bytecode數組中的內容。而serializationDumper默認只打印數組中的值。

查看一下serializationDumper工具是如何讀取array數組的,代碼如下

首先讀取array的size,然後調(byte)cd.getClassName().charAt(1)去讀取array的類型,再調用readBytesField方法讀取每一項具體的值,代碼如下

	/*******************
	 * Read a byte field.
	 ******************/
	private void readByteField() {
		byte b1 = this._data.pop();
		if(((int)b1) >= 0x20 && ((int)b1) <= 0x7e) {
			//Print with ASCII
			this.print("(byte)" + b1 + " (ASCII: " + ((char)b1) + ") - 0x" + this.byteToHex(b1));
		} else {
			//Just print byte value
			this.print("(byte)" + b1 + " - 0x" + this.byteToHex(b1));
		}
	}

所以只需要魔改一下讀取數組的地方即可,並寫入文件。

0x05 利用

已經集成到shiro綜合利用工具中,可以選擇gadget以及生成方式,不過目前只集成16個key。


參考

  1. https://mp.weixin.qq.com/s/fZhL-GjoXLPqAIKBKCC_fg
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章