heapdump泄露Shiro key从而RCE

梦里梦外; 2024-03-31 15:14 40阅读 0赞

### 1. 简介 ###

我搭建了一个Spring heapdump泄露shiro key从而RCE的漏洞环境，Github地址：[https://github.com/P4r4d1se/heapdump\_shiro\_vuln][https_github.com_P4r4d1se_heapdump_shiro_vuln]  
漏洞利用条件：

*  Spring Shiro环境
 *  存在heapdump文件泄露
 *  存在可利用链

### 2. 漏洞原理 ###

Shiro相关的漏洞原理和调试分析已经有很多大佬分享过了，这里不再赘述，这里主要针对这个漏洞环境进行说明：  
(1)Spring其实是有自己默认安全框架的，叫Spring Security，但可能有的开发用Shiro用习惯了，将Spring Securiy替换成了Shiro，这种情况并不少见，比如若依就是Spring shiro。

![a833b7513c04cd96c0b2f738e6579ba6.jpeg][]

(2)在有key的情况下，即使是最新版的Shiro也一样存在漏洞，而且在很多时候都会因为开发、部署等问题导致shiro key的泄露。  
(3)Shiro大于1.2.4的版本中，在没有开发人员人工干预的情况下key改为了随机生成，这个随机生成是在每次启动Web环境的时候，重启前这个key不会改变，可以在JVM虚拟机内存里找到。

![b6d1efa77ebddb5c98f12be11c9f67a2.jpeg][]

(4)Spring的heapdump文件就是从JVM虚拟机内存导出的。  
综上所述导致了这个组合漏洞的产生。

### 3. 漏洞演示 ###

加载漏洞环境后，可以看到Shiro版本为1.8.0：

![2047539936f638deec08a4e3cff2e105.jpeg][]

访问8080端口的/actuator/heapdump获取heapdump文件：

![97aaf7baaa77a0d8977b12f328137724.jpeg][]

[  
获取其中的shiro key，我常用的有两种方式：  
(1)JDumpSpider：][_shiro key_ _1_JDumpSpider] [https://github.com/whwlsfb/JDumpSpider][https_github.com_whwlsfb_JDumpSpider]  
这个小工具可以自动爬取heapdump中的变量信息，比较方便，坏处是可能会漏掉没在爬取列表中的信息。  
直接运行:java -jar JDumpSpider.jar heapdump即可自动获取变量信息，这里获取到ShiroKey：

![41e4124b1712e5d2bd30d124dbf6e380.jpeg][]

(2)jvisualvm.exe：Java自带的工具，默认路径为：JDK目录/bin/jvisualvm.exe  
这个工具需要手动去找想要的信息，在过滤里输入org.apache.shiro.web.mgt.CookieRememberMeManager，圈出来的16个字节的值就是key：

![ff812025300bb4643d6c26c788cd2bea.jpeg][]

用一个Python小脚本转成base64编码后的Shiro key：

import base64
    import struct
    
    print(base64.b64encode(struct.pack('<bbbbbbbbbbbbbbbb', 109,-96,12,-115,33,59,24,112,44,124,56,110,-15,59,1,-41)))

![b762abc85bbf3db0625fcec3adca0894.jpeg][]

使用获得的key进行利用成功：

![76ed2e43c6c3afd63873573bd876882e.jpeg][]

重新启动服务器再次获取shiro key，可以看到key改变了，验证了漏洞原理的第3点，每次启动生成一个随机key：

![663efa9cadd9362305e1085479fd2391.png][]

改用新的key仍然可进行利用：

![c5dcd8d1aaff5c02c48aa1840a1ad63c.jpeg][]

转自原文链接 [： ][_shiro key_ _1_JDumpSpider] [https://xz.aliyun.com/t/11908][https_xz.aliyun.com_t_11908]

[https_github.com_P4r4d1se_heapdump_shiro_vuln]: https://github.com/P4r4d1se/heapdump_shiro_vuln
[a833b7513c04cd96c0b2f738e6579ba6.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/e353516267294e3292b18cd6abe4b068.jpeg
[b6d1efa77ebddb5c98f12be11c9f67a2.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/b553d17270644b47a071161603e9144e.jpeg
[2047539936f638deec08a4e3cff2e105.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/13a52852fb6647aba9d05451a6f4ad90.jpeg
[97aaf7baaa77a0d8977b12f328137724.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/59655a154de94f34887c80ed86eba8da.jpeg
[_shiro key_ _1_JDumpSpider]: https://xzfile.aliyuncs.com/media/upload/picture/20221130172927-7c76e054-7091-1.png
[https_github.com_whwlsfb_JDumpSpider]: https://github.com/whwlsfb/JDumpSpider
[41e4124b1712e5d2bd30d124dbf6e380.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/c71e5aca0c164e6fa4351ed8aa5d74d0.jpeg
[ff812025300bb4643d6c26c788cd2bea.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/149f62225f1c405d80baf6347132a6b7.jpeg
[b762abc85bbf3db0625fcec3adca0894.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/54be7f20f1c946d4b510077f164e3a58.jpeg
[76ed2e43c6c3afd63873573bd876882e.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/166a4fb66f0c49cba6fffc01a083dbe1.jpeg
[663efa9cadd9362305e1085479fd2391.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/f87610c54e8c4dfda231062b381c40e7.png
[c5dcd8d1aaff5c02c48aa1840a1ad63c.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/c768b3011c574f8d8b3d21a710f3c9b9.jpeg
[https_xz.aliyun.com_t_11908]: https://xz.aliyun.com/t/11908