Apache Shiro 1.2.4反序列化漏洞實例分析，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

按需定制開發(fā)可以根據(jù)自己的需求進(jìn)行定制，做網(wǎng)站、網(wǎng)站建設(shè)構(gòu)思過程中功能建設(shè)理應(yīng)排到主要部位公司做網(wǎng)站、網(wǎng)站建設(shè)的運(yùn)用實際效果公司網(wǎng)站制作網(wǎng)站建立與制做的實際意義

0x00 Apache Shiro

這個組件的漏洞很久之前就爆出來了，但是最近工作中又遇到了，剛好最近也在看Java反序列化的東西，所以決定拿出來再分析一下，期間也遇到了一些奇怪的問題。

網(wǎng)上的分析文章中大部分都是手動添加了commons-collections4-4.0的依賴，目的是為了使用ysoserial生成的CommonsCollections2這個payload，然而我遇到的情況是使用了CommonsBeanutils1就可以直接打成功，所以這里我們不再重復(fù)網(wǎng)上對CommonsCollections2的分析了。

0x01 調(diào)試分析

調(diào)試環(huán)境：

JDK 1.8.0_72

Tomcat 8.0.30

首先我們把shiro的源碼clone回來，并切到有問題的分支上去。

git clone https://github.com/apache/shiro.git shiro-rootcd shiro-root
git checkout 1.2.0

為了能讓shiro自帶的sample跑起來，要對samples/web/pom.xml文件做一些修改，需要將jstl的版本改為1.2，并且刪掉servlet-api的scope字段。同時將jstl-1.2.jar放置在WEB-INF/lib下面。然后應(yīng)該就可以跑起來并且調(diào)試了。

我們將斷點打到org.apache.shiro.mgt.DefaultSecurityManager中的resolvePrincipals方法，并且發(fā)送一個帶有rememberMe Cookie的請求，應(yīng)該就可以斷下來了。

我們繼續(xù)跟進(jìn)這個getRememberedIdentity方法： 

繼續(xù)一直跟到getRememberedSerializedIdentity方法： 

在這個方法中，讀出了我們傳入的Cookie，并且進(jìn)行了base64解碼： 

接下來shiro會調(diào)用convertBytesToPrincipals并將base64解碼后的字節(jié)數(shù)組作為參數(shù)傳入：

這里通過函數(shù)名也能猜出來，進(jìn)行了兩個操作，分別是解密和反序列化，我們先來看解密部分，經(jīng)過簡單的調(diào)試后，發(fā)現(xiàn)是一個AES解密，并且存在一個預(yù)設(shè)秘鑰Base64.decode("kPH+bIxk5D2deZiIxcaaaA==");，在shiro自帶的sample中，并沒有通過其他的方式設(shè)置這個秘鑰，所以這里用的就是這個預(yù)設(shè)值。

而AES解密中遇到的IV也是從我們傳入的Cookie中的前幾個字節(jié)中獲取的，于是我們可以輕易的構(gòu)造出包含任意內(nèi)容的Cookie值，解密好的明文就是序列化的內(nèi)容，調(diào)用了deserialize進(jìn)行反序列化。

最終會調(diào)用到org.apache.shiro.io.DefaultSerializer#deserialize方法進(jìn)行反序列化：    

整個流程十分簡單，簡要概括一下就是：讀取cookie -> base64解碼 -> AES解密 -> 反序列化

所以我們的payload構(gòu)造起來也是十分的簡單，完整的PoC我會放到我的GitHub上。

0x02 疑點解惑

在調(diào)試的過程中，遇到了一些問題，并沒有成功的彈出計算器，這里記錄一下。

1. 為什么本地搭建環(huán)境，使用CommonsBeanutils1打不成功，總是提示ClassNotFound異常？

這個問題我當(dāng)時調(diào)試了好久，一度以為是payload有問題或者shiro的代碼因為年代久遠(yuǎn)有了變化，因為當(dāng)時遇到的case就是這個payload一發(fā)入魂的，表示十分的迷茫。后來發(fā)現(xiàn)了關(guān)鍵問題，我們從github上clone到的sample中，commons-beanutils這個依賴的版本是1.8.3，而ysoserial生成的payload的版本是1.9.2，所以在默認(rèn)的sample中是無法打成功的。于是我修改版本號到1.9.2，一發(fā)入魂。

所以遇到的那個案例中，實際的依賴環(huán)境版本可能也是這樣的吧，所以才能直接打成功。

2. 假如我的依賴中就是沒有高版本的commons-beanutils和commons-collections之類的包，怎么利用？

這個項目clone下來之后，可以看到是存在一個commons-collections的包的： 

但是使用ysoserial提供的CommonsCollections1是無法成功的，會爆出一個異常：

這就十分的奇怪了，為什么偏偏無法反序列化byte array類型，調(diào)試了一下發(fā)現(xiàn)是在這里拋出的異常：

查了一下Java中Class.forName()以及ClassLoader.loadClass()的區(qū)別，發(fā)現(xiàn)forName()總是使用調(diào)用者的ClassLoader()，而loadClass()則是可以自己指定一個不同的ClassLoader。那shiro中的ClasssLoader是怎么來的？是通過Thread.currentThread().getContextClassLoader();獲取的，也就是WebappClassLoader。但是為啥提示無法加載byte array呢，搜索了一番看到了orange博客下面的討論，了解到了整個事情的真相：

Shiro resovleClass使用的是ClassLoader.loadClass()而非Class.forName()，而ClassLoader.loadClass不支持裝載數(shù)組類型的class。

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識有進(jìn)一步的了解或閱讀更多相關(guān)文章，請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對創(chuàng)新互聯(lián)的支持。

當(dāng)前文章：ApacheShiro1.2.4反序列化漏洞實例分析
標(biāo)題路徑：http://chinadenli.net/article16/ppcedg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供云服務(wù)器、定制開發(fā)、全網(wǎng)營銷推廣、動態(tài)網(wǎng)站、營銷型網(wǎng)站建設(shè)、ChatGPT

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)