漏洞分析
將斷點(diǎn)下在DefaultSecurityManager類的resolvePrincipals方法中
可控的cookie
第一步檢查了是否principals為空
什么是principals:可以將shiro中的principals理解為已經(jīng)成功登陸的用戶的一個(gè)上下文,保存了認(rèn)證用戶的一些環(huán)境
- 如果principals為空的話,也就是當(dāng)前用戶沒有已經(jīng)認(rèn)證的上下文棵介,然后檢查是否設(shè)置了rememberMe鉴腻,也就是getRememberedIdentity方法
- image.png
在這里锁保,獲取rememberMeManager朋譬,并且從rememberMeManager中獲取認(rèn)證用戶的信息
-
image.png
可以看到通過(guò)getRememberedSerializedIdentity取得了bytes變量的值秃臣,進(jìn)去看看getRememberedSerializedIdentity是怎么取值的
這個(gè)地方是重點(diǎn):
可以看到袭蝗,通過(guò)WebUtils這個(gè)工具類獲取了原生的res和req,然后從其中讀取了cookie的值
在readValue中喉童,獲取了name為rememberMe的cookie的值撇寞,也就是我們?cè)诘顷懙臅r(shí)候,如果選擇rememberMe在cookie中生成的值堂氯,最后將cookie的值返回
硬編碼的AES的key
現(xiàn)在我們返回了一個(gè)經(jīng)過(guò)base64編碼后的加密字符串,接下來(lái)對(duì)獲取到的cookie值進(jìn)行aes解密
-
先進(jìn)行base64解碼
image.png
第一步先進(jìn)行padding確保正確的base64解碼結(jié)果牌废,之后調(diào)用Base64.decode進(jìn)行base64解碼
-
進(jìn)入Base64.decode函數(shù)
image.png
對(duì)獲取到的字符串將其轉(zhuǎn)換為byte數(shù)組
之后調(diào)用參數(shù)為字節(jié)數(shù)組的decode方法
在這個(gè)方法中咽白,將這個(gè)字節(jié)數(shù)組進(jìn)行base64解碼,并且返回對(duì)應(yīng)解碼后結(jié)果的字節(jié)數(shù)組
-
再回到getRememberedPrincipals方法中鸟缕,這一步我們已經(jīng)獲取到了base64解碼以后的字節(jié)數(shù)組
image.png
之后需要將這個(gè)字節(jié)數(shù)組變?yōu)閜rincipals對(duì)象
-
進(jìn)入convertBytesToPrincipals
image.png
image.png
可以看到getCipherService的返回值為aes加密服務(wù)
繼續(xù)跟入decrypt函數(shù)
如果cipherService不為空的時(shí)候晶框,會(huì)調(diào)用對(duì)應(yīng)cipherService的decrypt函數(shù)
在這里我們需要傳入一個(gè)加密的字節(jié)數(shù)組,一個(gè)解密的key
-
進(jìn)入getDecryptionCipherKey函數(shù)懂从,看一下怎么獲取到解密的key
image.png
這里直接返回了對(duì)應(yīng)的decryptionCipherKey屬性授段,看下這個(gè)屬性是怎么被賦值的
通過(guò)調(diào)用setDecryptionCipherKey來(lái)賦值,再搜索setDecryptionCipherKey的調(diào)用
通過(guò)setCipherKey來(lái)賦值番甩,繼續(xù)尋找setCipherKey的調(diào)用
可以發(fā)現(xiàn)侵贵,在類的構(gòu)造方法中,對(duì)Key進(jìn)行了賦值缘薛,而且這個(gè)key是一個(gè)常量窍育,跟入看一下這個(gè)常量的值
可以發(fā)現(xiàn),這個(gè)key的值是硬編碼的一段字符串宴胧,而aes是對(duì)稱加密算法漱抓,我們可以自己去偽造rememberMe的值
-
進(jìn)入對(duì)應(yīng)的decrypt方法
image.png
這里進(jìn)行了iv的初始化,可以看到iv的值恕齐,之后調(diào)用了decrypt方法
- image.png
在這里進(jìn)行了cookie的解密乞娄,可以通過(guò)動(dòng)態(tài)調(diào)試獲取到所有解密所需的key,iv显歧,加密模式仪或,最后獲取到解密以后的數(shù)據(jù)
反序列化
可以看到獲取到的byteSource中有一段很熟悉的特征:rO0AB...,這是java序列化后的數(shù)據(jù)追迟,這代表了溶其,解密以后的數(shù)據(jù)其實(shí)是一個(gè)java對(duì)象序列化之后的結(jié)果,那么在之后必定會(huì)進(jìn)行java序列化對(duì)象的反序列化操作敦间,繼續(xù)向下跟
在這個(gè)地方調(diào)用了deserialize方法對(duì)獲取到的數(shù)據(jù)進(jìn)行反序列化操作
看一下getSerializer()的返回值
所以進(jìn)入DefaultSerializerdeserilize方法:
將解密的數(shù)據(jù)用ObjectInputStream包裝瓶逃,并且調(diào)用了readObject方法束铭,也就是反序列化的入口點(diǎn)
為什么可以利用
可以看到,整個(gè)漏洞是由幾個(gè)漏洞串聯(lián)起來(lái)的:
- Cookie的內(nèi)容是用戶可控的
- 最重要的一個(gè)地方:Cookie的加密字符串是硬編碼的厢绝,所以導(dǎo)致我們可以任意偽造RememberMe Cookie的值
- 因?yàn)檫@個(gè)Cookie加密的其實(shí)是一個(gè)序列化后的對(duì)象契沫,所以在后面進(jìn)行反序列化的時(shí)候,因?yàn)槲覀兛梢詡卧靋ookie昔汉,那么我們也就可以控制反序列化時(shí)候的對(duì)象懈万,從而導(dǎo)致反序列化漏洞
