一,环境搭建
使用docker搭建测试环境
docker pull medicean/vulapps:s_shiro_1
systemclt restart docker
docker run -d -p 8081:8080 medicean/vulapps:s_shiro_1
访问本机ip:8081可以进入环境。
二,漏洞测试 查看传输包,发现cookie字段中有rememberMe=deleteMe,可以判断使用了shiro框架,进一步测试
使用shiro漏洞检测工具
爆破是否使用了默认的密钥
可以看到使用了默认的密钥,使用工具爆破利用链
在命令执行区域,执行命令
写入测试文件,验证漏洞
三,漏洞原理
Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。
那么,Payload产生的过程: 命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值
在整个漏洞利用过程中,比较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很容易就知道密钥了,Payload构造起来也是十分的简单。 影响版本:Apache Shiro < 1.2.4 特征判断:返回包中包含rememberMe=deleteMe字段。