漏洞原理
Apache Shiro框架提供了记住密码的功能(RememberMe),⽤户登录成功后会⽣成经过
加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反
序列化,就导致了反序列化RCE漏洞。
那么,Payload产⽣的过程:
命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值
在整个漏洞利⽤过程中,⽐较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很
容易就知道密钥了,Payload构造起来也是⼗分的简单。
影响版本
Apache Shiro < 1.2.4
环境
vulhub靶场 /shiro/CVE-2016-4437
漏洞复现
1.访问http://172.16.1.52:8080/login
2.验证Shiro框架
使⽤BurpSuite进⾏抓包,在请求包中的cookie字段中添加 rememberMe=123; ,看响应包header中是否返回 rememberMe=deleteMe 值,若有,则证明该系统使⽤了Shiro框架
3.命令执行
4.getshell
5.反弹shell
1.云服务器上写一个反弹shell命令到1.sh
2.下载 sh 脚本
3.nc监听
4.执行脚本:
/bin/bash /tmp/1.sh