安全矩阵

 找回密码
 立即注册
搜索
查看: 2795|回复: 0

聊聊攻防演练中的Shiro

[复制链接]

252

主题

252

帖子

1309

积分

金牌会员

Rank: 6Rank: 6

积分
1309
发表于 2022-5-13 23:18:17 | 显示全部楼层 |阅读模式
原文链接:聊聊攻防演练中的Shiro

声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
No.1
Shiro简介
Shiro是一个Java平台的开源权限框架,用于认证和访问授权。

近年Shiro反序列化可谓是攻防演练中的漏洞利用之首,其利用姿势层出不穷。
No.2
Shiro 反序列化利用场景
1、 源文件翻静态目录写shell // 可写
    1.1(无法写入、强路由等问题,获取权限方式:Win->certutil;Linux->nc;注入内存马;命令执行、命令回显)
2、 命令回显 // 可回显gadget
    2.1 (无法回显,获取权限方式:出网->反弹;不出网->写shell、注入内存马)
3、注入内存马
No.3
Shiro 反序列化如何检测
关于Poc编写思路
1. 攻击形式
2. 指纹形式
攻击形式
检测Key -> 检测gadget -> Key+Gadget+Command -> dnslog、命令回显、延时等判断
eg:
指纹形式
检测Header是否存在deleteMe
eg:

两者区别
你是否理解了两者真正的区别?
1. 指纹形式:编写简洁,有效规避waf,准确性低(不确定是否可利用),检测成功提示Maybe。
2. 攻击形式:形如exploit,不易规避waf,准确性较高,检测成功提示Yes。

我们在日常维护Poc期间,均采用指纹形式,根本原因是非常简洁,脚本小子都可以写一堆呢,现在大量利用工具开源,质量参差不齐,指纹检测出来一把梭即可。

形如Struts2等,这类Poc必须含有危险参数,不必采用指纹形式,通过命令回显、延时、dnslog验证即可。

两者区别
你是否理解了两者真正的区别?
1. 指纹形式:编写简洁,有效规避waf,准确性低(不确定是否可利用),检测成功提示Maybe。
2. 攻击形式:形如exploit,不易规避waf,准确性较高,检测成功提示Yes。

我们在日常维护Poc期间,均采用指纹形式,根本原因是非常简洁,脚本小子都可以写一堆呢,现在大量利用工具开源,质量参差不齐,指纹检测出来一把梭即可。

形如Struts2等,这类Poc必须含有危险参数,不必采用指纹形式,通过命令回显、延时、dnslog验证即可。

Shiro还有一种有趣的检测思路:
https://xz.aliyun.com/t/8445
https://github.com/Echox1/ShiroExploit

检测思路:每次发送两个请求,第一个为绿色请求,第二个检测key请求。匹配两次请求header数量是否发生变化,因为key正确不返回cookie,故通过此判断来检测Shiro,但存在一定误报。

Shiro反序列化利用工具居多,不一一列出,自行Github。
No.4
攻防演练案例
你是个工作仔细的安服吗?
在日常渗透测试中,有注意到一些Shiro目标的前后端框架。(不是Shiro也注意,细节很重要~)

发现部分Shiro前端采用layer(web弹出层组件)



全国攻防演练刷分
这里想做的是快速打点脆弱性目标&刷分。此时,资产?漏洞?何在?怎么刷?

根据目标关键字&特征去 Fofa、Sumap、ZoomEye等网络空间资产测绘搜集资产(这样最起码稍微准确一点吧、C段资产不确定性较高)。

全国攻防演练,目标关键字范围太大,Fofa数据量过大需要购买,人穷志不穷,所以我采取以下的方式,减小范围,同时也将可能存在的脆弱性资产圈起。


eg: title:"安恒" && data:"layer" Sumap搜索语法,当然不限于layer特征,自行积累。

部分外部打点成果:
网络空间资产测绘横向资产
前言 : 配合客户参加某地攻防演练时,客户要求多拿权限(无需内网渗透),由于某个目标存在shiro并已获取权限,想要多拿一些权限如何快速&取巧(站也日了水也划了),于是设想该目标系统是否有相同框架、CMS等(相同性),故有了以下思路。

对已有资产再次横向资产, 选择body、header等内容中可作为唯一标示的字符。



在Sumap、Fofa、ZoomEye等网络空间资产测绘中寻找相关资产。

以上均为Shiro并获取权限。
非默认配置的注意点
目标发送rememberMe=1并不返回deleteMe相关指纹。


登录响应包中返回了remeberMe=deleteMe,请求中不发rememberMe也会返回,发现登录中的请求地址存在Shiro鉴权,注意rememberMe != remeberMe,所以在利用时需要通过remeberMe发送Payload。

接着将利用工具的默认名称改为remeberMe即可。(项目地址https://github.com/feihong-cs/ShiroExploit

我想看到这里,大家应该思考最初所说的指纹问题,这里的Cookie名称被改变,你的自动化Poc中rememberMe检测Key可行吗。

当然,指纹也不中,所以呢?所以我喜欢主动的,但往往她们都是被动的扫描器

当时有了这样的概念: 爬虫触发+指纹识别,爬虫深度自定义,这样做或许可以得到目标更多信息。(自写指纹+公开项目指纹库)+(rad、crawlergo等)。
No.5
修复方案
1、升级shiro到1.2.4以上版本;
2、去掉默认秘钥或替换默认秘钥,可以自定义一个,再者可采用自动生成的方式。











本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-30 08:50 , Processed in 0.013213 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表