一,環境搭建
使用docker搭建測試環境
docker pull medicean/vulapps:s_shiro_1
systemclt restart docker
docker run -d -p 8081:8080 medicean/vulapps:s_shiro_1
訪問本機ip:8081可以進入環境。
二,漏洞測試 查看傳輸包,發現cookie字段中有rememberMe=deleteMe,可以判斷使用了shiro框架,進一步測試
使用shiro漏洞檢測工具
爆破是否使用了默認的密鑰
可以看到使用了默認的密鑰,使用工具爆破利用鏈
在命令執行區域,執行命令
寫入測試文件,驗證漏洞
三,漏洞原理
Apache Shiro框架提供了記住密碼的功能(RememberMe),用戶登錄成功後會生成經過加密並編碼的cookie。在服務端對rememberMe的cookie值,先base64解碼然後AES解密再反序列化,就導致了反序列化RCE漏洞。
那麼,Payload產生的過程: 命令=>序列化=>AES加密=>base64編碼=>RememberMe Cookie值
在整個漏洞利用過程中,比較重要的是AES加密的密鑰,如果沒有修改默認的密鑰那麼就很容易就知道密鑰了,Payload構造起來也是十分的簡單。 影響版本:Apache Shiro < 1.2.4 特徵判斷:返回包中包含rememberMe=deleteMe字段。