一、前言
既然我把shiro721和shiro550分开写,就说明两者是有区别的
不过两者的概念和作用也是大相径庭的,这里就不再赘述
可以参考上一篇文章:
WEB安全--Java安全--shiro550反序列化漏洞-CSDN博客
二、shiro721
2.1、原理
区别于shiro550的固定AES_key加密,shiro721用到的加密方式是AES-CBC,而且其中的AES加密的key基本猜不到了,是系统随机生成的。
但是服务端对请求包中的Cookie处理方式和shiro550的方式相同,也就意味着如果能伪造恶意的rememberMe字段的值且目标含有可利用的攻击链的话,还是能够进行RCE的。
所以现在的问题就是:如何知道AES-CBC的加密key呢?
通过Padding Oracle Attack攻击可以实现破解AES-CBC加密过程进而实现rememberMe的内容伪造。
2.2、Padding Oracle Attack
原理
Padding Oracle Attack 是一种针对使用填充方案的对称加密算法的攻击方式,尤其是那些使用 CBC(Cipher Block Chaining)模式的算法。攻击者可以利用填充错误消息(padding error messages)来逐步解密加密的消息。
而shiro721的AES加密算法正好采用的是CBC模式,通过工具爆破即可实现突破。
步骤
1、获取密文:攻击者首先需要获得目标的加密消息(密文)
2、构造攻击:攻击者会对密文的最后一个块进行修改。由于填充错误的反馈,攻击者可以逐字节地猜测填充的内容
3、逐字节解密:攻击者将密文块的最后一个字节修改为不同的值,并发送解密请求。根据服务器的响应(是填充错误还是成功),攻击者可以判断出填充是否正确。例如,假设最后一个字节是 0x01,如果攻击者将其修改为 0x00,0x01,0x02 等,观察服务器的响应。如果没有错误反馈,说明填充正确,攻击者就可以确定原始明文的最后一个字节
4、重复过程:攻击者逐步修改密文的每个字节,直到解密出整个明文。通过对每个块进行类似的操作,攻击者可以逐步得到完整的明文
2.3、利用条件
1、知道已经登陆用户的合法Cookie
2、目标服务器含有可利用的攻击链
2.4、利用思路总结
1、客户端首次用账号密码登录,勾选记住密码
2、响应包中的set-Cookie中存放着加密的用户信息密文
3、客户端再次访问服务端,请求包中的Cookie中就会存在rememberMe: 加密的用户信息密文
4、拦截这个请求包
5、构造payload(如CC链),将payload>>序列化>>AES加密>>base64编码
#参考ysoserial工具
java -jar ysoserial.jar CommonsBeanutils1 "touch /tmp/123" > payload.class
6、复制请求包中的rememberMe后的值
7、将其中的remember Me字段复制下来输入到shiro_exp工具中进行爆破和利用
python shiro_exp.py http://<hackerIP>/login.jsp <remember Me> payload.class
8、最终会生成恶意的rememberMe 密文,我们使用这个payload密文替换请求包中的rememberMe中的加密的用户信息密文
9、放包(请求包),服务端接收到我们更改后的请求包
10、JVM取出Cookie中的rememberMe中的密文进行>>base64解码>>AES解密>>反序列化
11、反序列化的readObject()触发CC链,实现命令执行