Apache Shiro 1.2.4反序列化漏洞实例分析

0x00 Apache Shiro

这个组件的漏洞很久之前就爆出来了,但是最近工作中又遇到了,刚好最近也在看Java反序列化的东西,所以决定拿出来再分析一下,期间也遇到了一些奇怪的问题。

网上的分析文章中大部分都是手动添加了commons-collections4-4.0的依赖,目的是为了使用ysoserial生成的CommonsCollections2这个payload,然而我遇到的情况是使用了CommonsBeanutils1就可以直接打成功,所以这里我们不再重复网上对CommonsCollections2的分析了。

0x01 调试分析

调试环境:

JDK 1.8.0_72

Tomcat 8.0.30

首先我们把shiro的源码clone回来,并切到有问题的分支上去。

git clone https://github.com/apache/shiro.git shiro-rootcd shiro-root
git checkout 1.2.0

为了能让shiro自带的sample跑起来,要对samples/web/pom.xml文件做一些修改,需要将jstl的版本改为1.2,并且删掉servlet-api的scope字段。同时将jstl-1.2.jar放置在WEB-INF/lib下面。然后应该就可以跑起来并且调试了。

我们将断点打到org.apache.shiro.mgt.DefaultSecurityManager中的resolvePrincipals方法,并且发送一个带有rememberMe Cookie的请求,应该就可以断下来了。

Apache Shiro 1.2.4反序列化漏洞实例分析

我们继续跟进这个getRememberedIdentity方法:

Apache Shiro 1.2.4反序列化漏洞实例分析继续一直跟到getRememberedSerializedIdentity方法:

Apache Shiro 1.2.4反序列化漏洞实例分析在这个方法中,读出了我们传入的Cookie,并且进行了base64解码:

Apache Shiro 1.2.4反序列化漏洞实例分析接下来shiro会调用convertBytesToPrincipals并将base64解码后的字节数组作为参数传入:

Apache Shiro 1.2.4反序列化漏洞实例分析

这里通过函数名也能猜出来,进行了两个操作,分别是解密和反序列化,我们先来看解密部分,经过简单的调试后,发现是一个AES解密,并且存在一个预设秘钥Base64.decode(“kPH+bIxk5D2deZiIxcaaaA==”);,在shiro自带的sample中,并没有通过其他的方式设置这个秘钥,所以这里用的就是这个预设值。

而AES解密中遇到的IV也是从我们传入的Cookie中的前几个字节中获取的,于是我们可以轻易的构造出包含任意内容的Cookie值,解密好的明文就是序列化的内容,调用了deserialize进行反序列化。

最终会调用到org.apache.shiro.io.DefaultSerializer#deserialize方法进行反序列化:
Apache Shiro 1.2.4反序列化漏洞实例分析

整个流程十分简单,简要概括一下就是:读取cookie -> base64解码 -> AES解密 -> 反序列化

所以我们的payload构造起来也是十分的简单,完整的PoC我会放到我的GitHub上。

0x02 疑点解惑

在调试的过程中,遇到了一些问题,并没有成功的弹出计算器,这里记录一下。

1. 为什么本地搭建环境,使用CommonsBeanutils1打不成功,总是提示ClassNotFound异常?

这个问题我当时调试了好久,一度以为是payload有问题或者shiro的代码因为年代久远有了变化,因为当时遇到的case就是这个payload一发入魂的,表示十分的迷茫。后来发现了关键问题,我们从github上clone到的sample中,commons-beanutils这个依赖的版本是1.8.3,而ysoserial生成的payload的版本是1.9.2,所以在默认的sample中是无法打成功的。于是我修改版本号到1.9.2,一发入魂。

所以遇到的那个案例中,实际的依赖环境版本可能也是这样的吧,所以才能直接打成功。

2. 假如我的依赖中就是没有高版本的commons-beanutils和commons-collections之类的包,怎么利用?

这个项目clone下来之后,可以看到是存在一个commons-collections的包的:

Apache Shiro 1.2.4反序列化漏洞实例分析

但是使用ysoserial提供的CommonsCollections1是无法成功的,会爆出一个异常:

Apache Shiro 1.2.4反序列化漏洞实例分析这就十分的奇怪了,为什么偏偏无法反序列化byte array类型,调试了一下发现是在这里抛出的异常:

Apache Shiro 1.2.4反序列化漏洞实例分析

查了一下Java中Class.forName()以及ClassLoader.loadClass()的区别,发现forName()总是使用调用者的ClassLoader(),而loadClass()则是可以自己指定一个不同的ClassLoader。那shiro中的ClasssLoader是怎么来的?是通过Thread.currentThread().getContextClassLoader();获取的,也就是WebappClassLoader。但是为啥提示无法加载byte array呢,搜索了一番看到了orange博客下面的讨论,了解到了整个事情的真相:

Shiro resovleClass使用的是ClassLoader.loadClass()而非Class.forName(),而ClassLoader.loadClass不支持装载数组类型的class。

看完上述内容是否对您有帮助呢?如果还想对相关知识有进一步的了解或阅读更多相关文章,请关注亿速云行业资讯频道,感谢您对亿速云的支持。

文章标题:Apache Shiro 1.2.4反序列化漏洞实例分析,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/26125

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云认证作者
上一篇 2022年9月16日 下午10:32
下一篇 2022年9月16日 下午10:33

相关推荐

  • CDR最新版本里面图片排版如何调间距

    CDR最新版本里面图片排版调间距的方法: 名列前茅步,选中你需要排版的图片。 第二步,点击上方工具栏的“对象”按钮。 第三步,在下拉菜单中点击“对齐与分布” 第四步,点击右边的“对齐与分布”选项打开。 第五步,点击图示位置的“对象间距”在下方就可以手动调间距了。 关于“CDR最新版本里面图片排版如何…

    2022年9月24日
    64700
  • 如何分析绕过Tumblr用户注册过程中的reCAPTCHA验证

    今天就跟大家聊聊有关如何分析绕过Tumblr用户注册过程中的reCAPTCHA验证,可能很多人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,希望大家根据这篇文章可以有所收获。 大家好,下面分享的writeup是作者通过在Tumblr用户注册过程中,发现Tumblr的“人机身份验证”机制(…

    2022年9月15日
    64600
  • JavaScript怎么取消请求

    取消 XMLHttpRequest 请求 当请求已经发送了,可以使用 XMLHttpRequest.abort() 方法取消发送,代码示例如下: const xhr = new XMLHttpRequest();xhr.open(‘GET’, ‘<http://127.0.0.1:30…

    2022年9月15日
    47600
  • Vue中slot插槽作用与原理是什么

    1、作用 父组件向子组件传递内容 扩展、复用、定制组件 2、插槽内心 2.1、默认插槽 把父组件中的数组,显示在子组件中,子组件通过一个slot插槽标签显示父组件中的数据。 子组件 <template> <div class=”slotChild”> <h5>{{…

    2022年9月22日
    77500
  • 如何进行DLL代理转发与weiquan分析

    DLL劫持 再Windows 7 版本之后,系统采用了KnowDLLs对DLL进行管理,其位于注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKnownDLLs下,在这个下面的DLL文件会被禁止从exe自身所在的目录…

    2022年9月22日
    64600
  • 如何进行CaptureFramework框架分析

    一、背景 应用服务监控是智能运维系统的重要组成部分。在UAV系统中,中间件增强框架(MOF)探针提供了应用画像及性能数据收集等功能,其中数据收集功能主要采集四类数据:实时数据、画像数据、调用链接数据生成以及线程数据分析数据。为实现实时数据采集,UAVStack设计了CaptureFramework框…

    2022年9月5日
    39500
  • php二维数组如何求积

    求积步骤:1、定义一个变量并赋值1,语法“$cj=1;”;2、用foreach循环遍历外层数组元素,语法“foreach($arr as $v){//循环体代码}”;3、循环体中,用is_array()、array_product()和“*=”运算符求积即可,语法“if(is_array($v)){…

    2022年9月13日
    35900
  • MySql如何查出符合条件的最新数据行

    结合示例: 这是一张记录人员来访的记录表。 数据表里的数据准确记录了每个人来访时带的帽子颜色、时间、人员编码(每个人少数)。 数据样例: 需要做到的是 : 拿出符合条件的最新的来访记录。 你会最怎么做? 先实现一点的, 取出 A101 这个人员编码的 最新来访记录 。 首先先展示错误的sql示例: …

    2022年9月16日
    40900
  • java垃圾收集器有哪些及怎么使用

    垃圾收集器如何演化的? 垃圾收集器的发展路线,简单来说是随着内存越来越大而发生变化。 从分代算法逐渐演化为不分代算法。 从serial的几十兆,逐渐演化到parallel的几个G,再到CMS的几十个G,也从此开始了并发回收。 年轻代收集器 Serial 特点:年轻代、串行回收、STW、简单高效 Se…

    2022年9月15日
    64900
  • 计算机怎么完成信息处理任务

    计算机通过单条指令完成信息处理任务;计算机指令就是指挥机器工作的指示和命令,程序就是一系列按一定顺序排列的指令,执行程序的过程就是计算机的工作过程;信息处理是指获取信息并采用某种方法和设备,按一定的目的和步骤对原始信息进行加工,使之转变成可利用的有效信息过程。 本教程操作环境:windows10系统…

    2022年9月16日
    45700
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部