聊聊攻防演练中的Shiro

chenqiang

原文链接：聊聊攻防演练中的Shiro

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

No.1

Shiro简介

Shiro是一个Java平台的开源权限框架，用于认证和访问授权。

近年Shiro反序列化可谓是攻防演练中的漏洞利用之首，其利用姿势层出不穷。

No.2

Shiro 反序列化利用场景

1、 源文件翻静态目录写shell // 可写

    1.1(无法写入、强路由等问题，获取权限方式:Win->certutil;Linux->nc;注入内存马;命令执行、命令回显)

2、 命令回显 // 可回显gadget

    2.1 (无法回显，获取权限方式:出网->反弹;不出网->写shell、注入内存马)

3、注入内存马

No.3

Shiro 反序列化如何检测

关于Poc编写思路

1. 攻击形式
2. 指纹形式

攻击形式

检测Key -> 检测gadget -> Key+Gadget+Command -> dnslog、命令回显、延时等判断

eg:

指纹形式

检测Header是否存在deleteMe

eg:

两者区别

你是否理解了两者真正的区别？

1. 指纹形式:编写简洁，有效规避waf，准确性低（不确定是否可利用），检测成功提示Maybe。

2. 攻击形式:形如exploit，不易规避waf，准确性较高，检测成功提示Yes。

我们在日常维护Poc期间，均采用指纹形式，根本原因是非常简洁，脚本小子都可以写一堆呢，现在大量利用工具开源，质量参差不齐，指纹检测出来一把梭即可。

形如Struts2等，这类Poc必须含有危险参数，不必采用指纹形式，通过命令回显、延时、dnslog验证即可。

两者区别

你是否理解了两者真正的区别？

1. 指纹形式:编写简洁，有效规避waf，准确性低（不确定是否可利用），检测成功提示Maybe。

2. 攻击形式:形如exploit，不易规避waf，准确性较高，检测成功提示Yes。

我们在日常维护Poc期间，均采用指纹形式，根本原因是非常简洁，脚本小子都可以写一堆呢，现在大量利用工具开源，质量参差不齐，指纹检测出来一把梭即可。

形如Struts2等，这类Poc必须含有危险参数，不必采用指纹形式，通过命令回显、延时、dnslog验证即可。

Shiro还有一种有趣的检测思路:

https://xz.aliyun.com/t/8445
https://github.com/Echox1/ShiroExploit

检测思路：每次发送两个请求，第一个为绿色请求，第二个检测key请求。匹配两次请求header数量是否发生变化，因为key正确不返回cookie，故通过此判断来检测Shiro，但存在一定误报。

Shiro反序列化利用工具居多，不一一列出，自行Github。

No.4

攻防演练案例

你是个工作仔细的安服吗？

在日常渗透测试中，有注意到一些Shiro目标的前后端框架。（不是Shiro也注意，细节很重要～）

发现部分Shiro前端采用layer(web弹出层组件)

全国攻防演练刷分

这里想做的是快速打点脆弱性目标&刷分。此时，资产？漏洞？何在？怎么刷？

根据目标关键字&特征去 Fofa、Sumap、ZoomEye等网络空间资产测绘搜集资产（这样最起码稍微准确一点吧、C段资产不确定性较高）。

全国攻防演练，目标关键字范围太大，Fofa数据量过大需要购买，人穷志不穷，所以我采取以下的方式，减小范围，同时也将可能存在的脆弱性资产圈起。

eg: title:"安恒" && data:"layer" Sumap搜索语法，当然不限于layer特征，自行积累。

部分外部打点成果:

网络空间资产测绘横向资产

前言 : 配合客户参加某地攻防演练时，客户要求多拿权限(无需内网渗透)，由于某个目标存在shiro并已获取权限，想要多拿一些权限如何快速&取巧(站也日了水也划了)，于是设想该目标系统是否有相同框架、CMS等(相同性)，故有了以下思路。

对已有资产再次横向资产, 选择body、header等内容中可作为唯一标示的字符。

在Sumap、Fofa、ZoomEye等网络空间资产测绘中寻找相关资产。

以上均为Shiro并获取权限。

非默认配置的注意点

目标发送rememberMe=1并不返回deleteMe相关指纹。

登录响应包中返回了remeberMe=deleteMe，请求中不发rememberMe也会返回，发现登录中的请求地址存在Shiro鉴权，注意rememberMe != remeberMe，所以在利用时需要通过remeberMe发送Payload。

接着将利用工具的默认名称改为remeberMe即可。（项目地址https://github.com/feihong-cs/ShiroExploit）

我想看到这里，大家应该思考最初所说的指纹问题，这里的Cookie名称被改变，你的自动化Poc中rememberMe检测Key可行吗。

当然，指纹也不中，所以呢？所以我喜欢主动的，但往往她们都是被动的扫描器。

当时有了这样的概念: 爬虫触发+指纹识别，爬虫深度自定义，这样做或许可以得到目标更多信息。(自写指纹+公开项目指纹库)+(rad、crawlergo等)。

No.5

修复方案

1、升级shiro到1.2.4以上版本；
2、去掉默认秘钥或替换默认秘钥，可以自定义一个，再者可采用自动生成的方式。