JAVA 代码审计之 Shiro 反序列化漏洞分析，浦发银行 Java 开发笔试题

}

上述代码定义了 People 类，并且实现了 Serializable 接口，我们便可以对其进行序列化和反序列化操作：

import java.io.*;

public class Test {

public static void main(String[] args) throws Exception {

// 初始化对象

People people = new People();

people.setName("xiaoming");

people.setAge(18);

// 序列化步骤

// 1. 创建一个 ObjectOutputStream 输出流

// 2. 调用 ObjectOutputStream 对象的 writeObject 输出可序列化对象

ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream(new File("d:/People.txt")));

oos.writeObject(people);

System.out.println("people 对象序列化成功！");

// 反序列化步骤

// 1. 创建一个 ObjectInputStream 输入流

// 2. 调用 ObjectInputStream 对象的 readObject()得到序列化的对象

ObjectInputStream ois = new ObjectInputStream(new FileInputStream(new File("d:/People.txt")));

People people1 = (People) ois.readObject();

System.out.println("people 对象反序列化成功！");

System.out.println(people1.getName());

System.out.println(people1.getAge());

}

}

代码运行结果：

people 对象序列化成功！

people 对象反序列化成功！

xiaoming

18

序列化过程将字节流保存在 d:/People.txt 中，我们可以在 d:/People.txt 看到序列化后的二进制对象（其中开头的 aced 0005 是 Java 序列化文件的文件头）：

反序列化漏洞

回想一下 CTF 比赛经常遇到的 PHP 的反序列化漏洞，反序列化对象时会调用类的魔法函数__construct()(创建对象时触发)，我们可以构造 pop 链来控制(改造)__construct()函数，从而反序列化时执行我们需要的操作，Java 也是类似。

在上面的代码中，我们通过调用 readObject() 方法来从一个源输入流中读取字节序列，再把它们反序列化为一个对象，那么我们如果控制了此类的 readObject() 方法会怎么样？为了验证想法，我们修改一下 People 类，重写其 readObject() 方法：

public class People implements Serializable {

//添加以下方法，重写 People 类的 readObject()方法

private void readObject(java.io.ObjectInputStream in) throws IOException, ClassNotFoundException{

//执行默认的 readObject()方法

in.defaultReadObject();

//执行打开计算器程序命令

Runtime.getRuntime().exec("calc.exe");

}

}

运行程序，当执行People people1 = (People) ois.readObject();语句时会调用 People 类的 readObject 方法，弹出计算器：

由此可知控制了类的 readObject 方法便可以在反序列化该类时执行任意操作。事实上大多数 Java 反序列化漏洞都可追溯到 readObject 方法，通过构造 pop 链最终改造 readObject() 方法。

源码审计分析

=========================================================================

Apache Shiro 是一个 Java 安全框架，执行身份验证、授权、密码和会话管理。2016 年网络中曝光 Apache Shiro 1.2.4 以前的版本存在反序列化漏洞，尽管该漏洞已经曝光几年，但是在实战中仍然比较实用。

影响版本

Apache Shiro <= 1.2.4

漏洞原理

Apache Shiro 框架提供了记住我的功能（RememberMe），用户登陆成功后会生成经过加密并编码的 Cookie。Cookie 的 key 为 RememberMe，Cookie 的值是经过对相关信息进行序列化，然后使用 AES 加密，最后在使用 Base64 编码处理形成的。

在服务端接收 Cookie 值时，按照如下步骤来解析处理：

1. 检索 RememberMe cookie 的值；

2. Base 64 解码；

3. 使用 AES 解密(加密密钥硬编码)；

4. 进行反序列化操作（未作过滤处理）。

在调用反序列化时未进行任何过滤，导致可以触发远程代码执行漏洞。

IDEA 部署环境

下面在本地 IDEA 部署 Apache Shrio 1.2.4 漏洞环境，以便于进行漏洞动态调试分析。

1、首先在 Github 下载项目源码：

https://github.com/apache/shiro

注意选择存在漏洞的 1.2.4 版本：

2、编辑 shiro\samples\web 路径下的 pom.xml 文件，给 jstl 指定版本：

3、使用 IDEA 导入此 MVN 项目：

4、等待 IDEA 自动下载并导入完项目依赖的包，build 完成后项目结构如下：

注意，pom.xml 里面的配置会让程序自动下载shiro-core依赖包（后面程序加断点调试会用到该部分文件）：

5、接着设置 run/debug configurations， 添加本地 Tomcat 环境（需要提前在本地安装 Tomcat 环境）：

6、添加项目 War 包 samples-web.war进 Tomcat 中：

附：此处该 War 包之所以存在，是因为它也是前面 pom.xml 配置文件设置的自动下载到本地的：

7、配置完以上的准备工作，就可以直接 run 运行程序了：

运行成功后浏览器将自动打开目标程序站点，本地环境部署至此结束：

8、访问登录页面进行已提示账户的登录，抓包可见 remenberme 字段：

9、为了开始调试该程序，先停止程序运行，然后在 External Libraries 中找到 shiro-core-1.2.4 的 jar 包，打开 RememberMeManager.class 文件并在 onSuccessfulLogin 函数前加断点，然后点击 Debug 按钮开始在调试模式下运行程序：

10、接着在 Web 端登录账户 root/secret，勾选上 Remember Me 的按钮，程序会停在断点处，然后便可以开始正式的 Debug 漏洞调试了：

11、以上项目工程相当于是只导入 samples-web 文件夹，实际上也可以直接在 IDEA 导入在 Github 下载的完整的 shiro-shiro-root-1.2.4 源码工程文件夹，待 Build 自动下载完所需的依赖包后，同样的步骤配置 Tomcat，然后直接找到 core 文件夹下的RememberMeManager.java 文件并在 onSuccessfulLogin 函数前加断点：

12、接着在 Debug 模式下运行程序，也可在断点处拦截程序、进行调试：

后面的审计分析将基于上述导入所有项目源码的工程项目，因为相比于第一种仅导入 samples-web 文件夹并通过引入 shiro-core-1.2.4 的 jar 包来调试 class 文件的方式，直接审计全部 java 源码将更为直观！

序列化过程分析

下面开始正式调试分析 Apache Shiro 框架在登录过程生成序列化 Cookie 对象的过程。

1、首先看下登录请求发送后断点停留的 onSuccessfulLogin 函数：

程序首先调用 forgetIdentity 构造方法处理 request 和 response 请求，包括在 response 中加入 cookie 信息，然后调用 rememberIdentity 函数，来处理 cookie 中的 rememberme 字段。

2、我们按 F8 来 Step Over 跨过 forgetIdentity 构造方法，然后 F7 来 Step Into 跟进下 rememberIdentity 函数：

可以看到，rememberIdentity 函数首先调用 getIdentityToRemember 函数来获取用户身份，这里也就是"root"。

3、接着我们跟进 rememberIdentity 构造方法：

4、上面调用了 convertPrincipalsToBytes 方法将 accountPrincipals 也就是 “root” 转换为字节形式，跟进该方法查看内部如何转换：

5、转换过程是先序列化用户身份 “id” ，再对其进行 encrypt 加密，进一步跟进 encrypt 函数查看加密方式：

6、encrypt 函数就是调用 AES 加密对序列化后的 “root” 进行加密，加密的密钥由 getEncryptionCipherKey() 得到，跟进 getEncryptionCip

【一线大厂Java面试题解析+核心总结学习笔记+最新架构讲解视频+实战项目源码讲义】
浏览器打开：qq.cn.hn/FTf 免费领取

herKey() 函数会发现其值为常量（即密钥硬编码）：

7、Shift+F8 进行 Step Out 步出，返回到 rememberIdentity 函数：

8、跟进 rememberSerializedIdentity 函数查看后续转换流程，发现该函数对上述 root 的 AES 加密后的序列化值进行 base64 编码后，设置到 cookie 中：

到这里我们可以梳理下上述整个 Cookie 的生成过程，当我们勾选上 Remember Me 选项框后，以 root 身份登录，后端会进行如下操作：

1. 序列化用户身份"root"，得到值 A；

2. 对 root 的序列化值 A 进行 AES 加密（密钥为硬编码的常量），得到值 B；

3. base64 编码上述计算的结果 B，得到值 C；

4. 将值 C 设置到 response 响应包中 cookie 的 rememberme 字段。

可以看看整个数据包：

反序列化的分析

以上已经调试分析完 Shiro 生成 Cookie 字段的序列化、加密过程，下面来进一步调试分析下 Cookie 字段的反序列化、解密过程。

1、将断点打在org.apache.shiro.mgt.DefaultSecurityManager#getRememberedIdentity函数处，然后发送一个带有 rememberMe Cookie 的请求：