反序列化漏洞原理详解

　　Apache shiro简介
　　Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
　　本文针对Shiro进行了一个原理性的讲解，从源码层面来分析了Shiro的认证和授权的整个流程，并在认证与授权的这个流程讲解冲，穿插说明rememberme的作用，以及为何该字段会导致反序列化漏洞。 Apache shiro认证
　　在该小节中我们将会详细讲解Shiro是如何认证一个用户为合法用户的
　　Shiro漏洞环境测试代码修改自Vulhub中的CVE-2016-4437。
　　首先是Shiro的配置文件，代码如下所示 @Configuration public class ShiroConfig {     @Bean     MainRealm mainRealm() {         return new MainRealm();     }      @Bean     RememberMeManager cookieRememberMeManager() {         return (RememberMeManager)new CookieRememberMeManager();     }      @Bean     SecurityManager securityManager(MainRealm mainRealm, RememberMeManager cookieRememberMeManager) {         DefaultWebSecurityManager manager = new DefaultWebSecurityManager();         manager.setRealm((Realm)mainRealm);         manager.setRememberMeManager(cookieRememberMeManager);         return (SecurityManager)manager;     }      @Bean(name = {＂shiroFilter＂})     ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {         ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();         bean.setSecurityManager(securityManager);           //设置登录页面uri         bean.setLoginUrl(＂/login＂);           //设置登录失败页面uri         bean.setUnauthorizedUrl(＂/unauth＂);          Map map = new LinkedHashMap<>();         map.put(＂/doLogin＂, ＂anon＂);         map.put(＂/doLogout＂, ＂authc＂);         map.put(＂/user/add＂,＂perms[user:add]＂);         map.put(＂/user/update＂,＂perms[user:update]＂);         map.put(＂/user/delete＂,＂perms[user:delete]＂);         map.put(＂/user/select＂,＂perms[user:select]＂);         map.put(＂/**＂, ＂authc＂);          bean.setFilterChainDefinitionMap(map);          return bean;     } }
　　【一>所有资源关注我，私信回复＂资料＂获取<一】
　　1、200份很多已经买不到的绝版电子书
　　2、30G安全大厂内部的视频资料
　　3、100份src文档
　　4、常见安全面试题
　　5、ctf大赛经典题目解析
　　6、全套工具包
　　7、应急响应笔记
　　8、网络安全学习路线
　　然后是Controller的代码 @Controller public class UserController {     @PostMapping({＂/doLogin＂})     public String doLoginPage(@RequestParam(＂username＂) String username, @RequestParam(＂password＂) String password, @RequestParam(name = ＂rememberme＂, defaultValue = ＂＂) String rememberMe) {         Subject subject = SecurityUtils.getSubject();         try {             subject.login(new UsernamePasswordToken(username, password, rememberMe.equals(＂remember-me＂)));         } catch (AuthenticationException e) {             return ＂forward:/login＂;         }         return ＂forward:/＂;     }      @RequestMapping({＂/doLogout＂})     public String doLogout() {         Subject subject = SecurityUtils.getSubject();         subject.logout();         return ＂forward:/login＂;     }      @RequestMapping({＂/＂})     public String helloPage() {         return ＂hello＂;     }      @RequestMapping({＂/unauth＂})     public String errorPage() {         return ＂error＂;     }      @RequestMapping({＂/login＂})     public String loginPage() {         return ＂loginUser＂;     }      @RequestMapping({＂/user/add＂})     public String add(){         return ＂/user/add＂;     };      @RequestMapping({＂/user/delete＂})     public String delete(){         return ＂/user/delete＂;     };      @RequestMapping({＂/user/update＂})     public String update(){         return ＂/user/update＂;     };      @RequestMapping({＂/user/select＂})     public String select(){         Subject subject = SecurityUtils.getSubject();         return ＂/user/select＂;     };  }
　　最后是Realm public class MainRealm extends AuthorizingRealm {      @Autowired     UserServiceImpl userService;      /**该方法用来为登陆的用户进行授权*/     @Override     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {         System.out.println(＂执行了=>授权doGetAuthorizationInfo＂);         SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();         Subject subject = SecurityUtils.getSubject();         System.out.println(subject.isAuthenticated());         System.out.println(subject.isRemembered());         if(!subject.isAuthenticated()){             return null;         }         Users users = (Users) subject.getPrincipal();          if(users.getPerm()!=null){             String[] prems = users.getPerm().split(＂;＂);             info.addStringPermissions(Arrays.asList(prems));         }          return info;     }      /**该方法用来校验登陆的用户*/     @Override     protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {         System.out.println(＂执行了=>认证doGetAuthenticationInfo＂);         Subject subject= SecurityUtils.getSubject();         System.out.println(subject.isAuthenticated());         System.out.println(subject.isRemembered());         UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) authenticationToken;         String username = usernamePasswordToken.getUsername();         char[] password = usernamePasswordToken.getPassword();          Users users = userService.queryUserByName(username);          if (users.getUsername()==null){             return null;         }         return new SimpleAuthenticationInfo(users,users.getPassword(),＂＂);      } }
　　这里来看一下自定义的MainRealm的类继承和实现关系图
　　Realm所起到的作用通常是获取后台用户的相关信息，然后获取前端传递进来的用户信息，将二者封装好然后交由shiro进行认证比对从而判断用户是否为合法用户，然后在用户访问后台资源时，为用户授予指定好的权限。
　　那么认证是怎么认证的呢？下面来从Shiro源码的角度来进行详细的分析。
　　首先是登陆页面，和登陆页面的代码。
　　当点击Singn in按钮的时候 后台对应的Controller就会执行
　　但是在执行到Controller之前，Shiro会进行一个操作，如下所示
　　首先就是Shiro的Filter，在Shiro的配置文件中，通过@Bean注解让SpringBoot在启动的时候自动装配了当前方法的返回值，也就是一个ShiroFilterFactoryBean对象，该对象的类继承关系如下所示。
　　该类实现了SpringFrameWork中的FactoryBean接口和BeanPostProcessor接口。SpringBoot在启动的时候会扫描当前目录以及子目录下所有.java文件的注解，然后进行装配，这一过程中就会调用FactoryBean.getObject()方法。也就是FactoryBean的实现类ShiroFilterFactoryBean.getObject()方法，
　　在shiroFilter的执行的堆栈中，会创建一个Subject，Subject是Shiro中很重要的一个概念，简单来说就是当前所操作的用户。当前线程中的用户所进行的认证和授权等等操作，都会以操作这个Subject对象来进行，所以Subject也被称之为主体，最终实例化的是一个WebDelegatingSubject对象。
　　请求继续往下执行，来到UserController.doLoginPage()方法，该方法中会调用Subject.login()方法，并传入一个UsernamePasswordToken 对象。这个UsernamePasswordToken从这个类的名字我们就可以猜出这个类是用来做什么的，跟进该类中看一下
　　从这个类提供的方法和属性就可以看出来，UsernamePasswordToken类就是一个单纯的pojo类，登陆时的用户名和密码以及对应的ip信息都会在这个类中暂时存放。
　　跟进Subject.login()方法，经过一系列的调用来到了ModularRealmAuthenticator.doAuthenticate，该方法会获取我们自定义的Realm并一次进行调用，我们自定义的Realm是文章开头的MainRealm，所谓的Realm，就是对传入的用户进行认证和授权的地方，Realm的自定义需要继承自AuthorizingRealm，Realm我们可以自定义多个，只需要将自定义好的多个Realm放入一个Collection对象中，然后在配置文件中通过SecurityManager.setRealms()传入，这样在Shiro在认证时就会依次调用我们自定义的Realms，Shiro本身也自带有一些Reamls可以直接调用，如下图所示
　　自定义的Realm有两个方法必须要实现，分别是继承自AuthencationgRealm的doGetAuthenticationInfo()方法，和AuthorizingRealm的doGetAuthorizationInfo方法，如下图所示
　　下面根据程序执行流程，先讲doGetAuthenticationInfo，根据之前所讲调用subject.login()方法时会调用到我们自定义的Realm的doGetAuthenticationInfo方法，我们在该方法中的实现非常简单，即从后台数据库中根据用户名进行查询用户是否存在，如果存在则将查询出来的数据封装成Users对象，然后将封装好的Users对象传入和查询出的该用户的密码一同传入SimpleAuthenticationInfo类构造方法中并进行返回。
　　这一步说是用来进行用户的认证，但是不难发现，该方法中并没有对用户的密码进行校验，那么真正的校验点在哪里呢，在如下图所示的位置
　　在AuthenticatingRealm的getAuthenticationInfo方法中不仅调用了我们自定义的MainRealm中的doGetAuthenticationInfo方法，还调用了自身的assertCredentialsMatch方法，如下图所示，而assertCredentialsMatch方法就是用来校验前端传递来的用户名和密码，以及后台从数据库查询出的密码进行比对的。
　　在assertCredentialsMatch方法中跟如cm.doCredentialsMatch(token, info)，然后就可以看到shiro如何进行用户密码比对的了。
　　token是前端传入的用户名和密码封装成的UsernamePasswordToken对象，info是从数据库中查询出的数据封装成的SimpleAuthenticationInfo对象，如此一来，获取二者的密码，进行equals比对，相同则程序继续执行，不相同则抛出异常，返回登陆界面。
　　那么Shiro认证到这里就结束了么？当然不是，之前提到过，Shiro中有一个概念叫Subject，Subject代表的就是用户当前操作的主体，在这第一次登陆认证中我们也是通过调用了一个Subject对象的login方法才进行的身份验证，但是在这个Subject中是没有任何的用户信息的，当用户的信息通过校验之后，Shiro又会实例化一个WebDelegatingSubject，而这个位置就在DefaultSecurityManager的login方法中，如下图所示
　　我们之前看到的认证过程就在authenticate方法里，身份真正成功后会返回用户的信息，封装在一个SimplePrincipalCollection对象里，如果认证失败，则会抛出异常。
　　认证成功后，Shiro就会根据当前用户的一些信息，再创建一个Subject，后续该用户进行的任何操作都会以这个Subject为主，授权也是Shiro给这个Subject进行授权。
　　如此以来我们就了解了Shiro是如何认证一个用户的，下面来总结一下Shiro认证用户的一个思路，首先在用户没有进行认证的时候访问一些资源，Shiro会生成一个Subject，这个Subject没有任何的用户信息。当用户开始登陆，Shiro会调用Subject的login方法，对用户的用户名和密码进行校验，校验通过后，会生成一个新的Subject，后续用户的授权等操作，都会基于这个新生成的Subject。 Apache Shiro授权
　　看完了Shiro的认证过程，接下来我们来看Shiro的授权过程。
　　我们将每位用户所拥有的授权都存入数据库中如下所示
　　这里以admin为例，来分析下Shiro授权的过程。
　　书接上文Shiro认证部分，认证完成功Shiro会生成一个新的Subject，而shiro的授权过程也就是围绕着这个Subject来进行的，那么Shiro何时会为用户进行授权行为呢？
　　在之前的内容中说过，自定义的Realm有两个方法必须要实现，分别是继承自AuthencationgRealm的doGetAuthenticationInfo()方法，和AuthorizingRealm的doGetAuthorizationInfo方法。
　　doGetAuthenticationInfo()方法我们已经清楚了，是用来进行用户身份验证的，而doGetAuthorizationInfo()方法就是用来进行用户授权的。
　　再回顾一下之前的配置文件中我们为每个资源所授予的访问权限，权限如下所示。  @Bean(name = {＂shiroFilter＂})     ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {         ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();         bean.setSecurityManager(securityManager);         bean.setLoginUrl(＂/login＂);         bean.setUnauthorizedUrl(＂/unauth＂);         /**          * anon:无需认证就可以访问          * authc: 必须认证了才能访问          * user: 必须拥有记住我功能才能访问          * perms: 拥有对某个资源的权限才能访问          * role: 拥有某个角色权限才能访问          * */         Map map = new LinkedHashMap<>();         map.put(＂/doLogin＂, ＂anon＂);         map.put(＂/doLogout＂, ＂authc＂);         map.put(＂/user/add＂,＂perms[user:add]＂);         map.put(＂/user/update＂,＂perms[user:update]＂);         map.put(＂/user/delete＂,＂perms[user:delete]＂);         map.put(＂/user/select＂,＂perms[user:select]＂);         map.put(＂/**＂, ＂authc＂);          bean.setFilterChainDefinitionMap(map);          return bean;     }
　　我们在doGetAuthorizationInfo()方法中下断点，当已经经过认证的用户访问制定资源的时候，shiro就会调用doGetAuthorizationInfo()方法来为该用户进行授权，具体怎么执行到该方法的就不细说了，将调用链粘贴一下。
　　doGetAuthorizationInfo()方法的具体实现如下所示     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {         String name = getName();         System.out.println(＂执行了=>授权doGetAuthorizationInfo＂);         SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();       //获取当前用户的subject         Subject subject = SecurityUtils.getSubject();         System.out.println(subject.isAuthenticated());         System.out.println(subject.isRemembered());         if(!subject.isAuthenticated()){             return null;         } //        Users users = userService.queryUserByName((String) subject.getPrincipal());       //       //获取当前用户的信息         Users users = (Users) subject.getPrincipal();             //判断当前用户的权限字段是否为空，如果不为空的话就传入SimpleAuthorizationInfo的addStringPermissions方法中。         if(users.getPerm()!=null){             String[] prems = users.getPerm().split(＂;＂);             info.addStringPermissions(Arrays.asList(prems));         }          return info;     }
　　之前在认证的那一步中，我们将数据库中的数据封装成一个Users对象，该对象存放入了Subject中，doGetAuthorizationInfo()方法中我们将其取出。
　　在该方法中，我们所做的只是将用户数据库中的权限字段取出然后封装入一个SimpleAuthorizationInfo对象中，并进行返回，我们跟随看一下Shiro后续的操作。
　　在获取完当前用户的权限后，堆栈返回到AuthorizingRealm的isPermitted方法中，该方法又调用了isPermitted()方法，isPermitted()方法就是用来判断用户是否有权限访问指定资源的方法。
　　isPermitted()方法具体内容如下所示
　　该方法会讲用户所拥有的权限循环遍历出来，然后和当前资源所需要访问权限进行一一比对，如果相同则返回true。那么比对规则是怎样的呢？
　　跟进implies()方法，内容如下所示
　　这里简述一下比对的规则，当前资源所需的访问权限[user:add]，对于shiro来说所谓的访问权限不过就是一串字符串而已，shiro会将[user:add]以＂:＂进行分割，分割成user和add两个字符串，而假如用户具有[user:add],和[user:select]这两个权限，第一次循环就是判断[user:select]和[user:add]是否相同，会首先判断＂:＂之前的字符串是否相同，也就是user这部分是否相同，相同则继续，不相同则返回false。判断相同以后，会第二次循环判断＂:＂之后的部分是否相同，也就是add和select。那自然是不相同的，所以返回false。shiro接下来会继续判断[user:add]和[user:add]是否相同。
　　这就是shiro授权和鉴权的代码流程，也是shiro的核心。了解了shiro的这部分内容之后，我们接下来就该讲CVE-2016-4437这个漏洞的具体内容了。 Apahce Shiro反序列化漏洞的根源
　　shiro在用户登陆的时候，除了用户名和密码以外 还有一个可传递的选项，也就是shiro发序列化漏洞产生的根源，Rememberme。
　　Rememberme的核心作用时什么呢？就是用户在登录时勾选rememberme选项，Cookie中就会增加一个rememberme字段，该字段中会存储一些序列化数据，开发者可以指定rememberme字段的有效时间，同时开发者可以指定一些资源，这些资源允许携带rememberme字段的用户访问，由于rememberme是存储在浏览器中的，并在用户的每一次请求中被携带，所以只要不清除Cookie，用户就可以在rememberme的有效时间内，无需再次登陆，就可以访问指定资源。在不勾选rememberme的情况下，通常就是浏览器关闭，会话就会立刻结束，活着等待一段时间后结束，届时用户想要访问一些资源则需要重新登陆，勾选rememberme后，即使推出浏览器结束与服务端的会话，rememberme仍然存储在浏览器中，重新打开浏览器访问指定资源，浏览器在请求时仍会携带上rememberme，如此一来就不需要重新登陆了。
　　那么接下来就来分析rememberme是如何生成，以及如何实现无需登录即可访问指定资源的。
　　如果登陆的时候不勾选rememberme选项的情况下，Shiro是不会生成rememberme的，勾选了rememberme选项后，才会在认证的过程中生成该值。
　　生成rememberme的位置在DefaultSecurityManager的login方法中，如下图所示。
　　位置就是在Shiro完成用户认证，生成一个新的Subject之后。跟进onSuccessfulLogin()方法，经过嵌套调用，来到AbstractRememberMeManager的onSuccessfulLogin方法，
　　在该方法中，会先判断此次请求中remebmberme字段是否存在，如果存在则调用rememberIdentity()方法，想要知道rememberme中存储了什么东西那么就要继续深入。
　　这里是获取到了一个PrincipalCollection对象，继续深入。
　　接下来就是将这个PrincipalCollection转化成byte数组。这个方法很关键，我们需要跟入看一下
　　看到这里大家应该就明白了，Shiro为什么会有反序列化漏洞，以及rememberme所传递的数据就究竟是什么，其实就是一个序列化后的PrincipalCollection对象，而这个encrypt就是通过AES来加密序列化后的数据，密钥呢？当然就是硬编码在AbstractRememberMeManager类中的这段base64编码后的字符串了，如下图所示
　　最后的最后，Shiro会将这段加密后的数据base64编码一遍，然后放入Cookie中，至此Shiro生成rememberme的过程就结束了
　　那么知道了rememberme是怎么加密生成的，那么自然也就可以很轻易的解密了，尤其还是在密钥硬编码在代码中的这种情况，下面是解密的demo
　　那么反序列化漏洞产生的点在哪里呢？当用户在登录时勾选了rememberme的时候，Shiro会返回一个rememberme通过Cookie字段传递，然后存储在浏览器中，正常情况下当用户关闭浏览器或者手动删除浏览器中存储的SesseionID的时候，与服务端的当前会话就结束了，当下次打开浏览器再此访问服务端的时候，就需要重新登录。而勾选了rememberme的用户登录后，关闭浏览器后，会话同样会关闭，但是下次打开浏览器请求访问服务端的时候，Cookie中会携带Rememberme来进行请求，从而达到无需登录的效果。
　　漏洞的产生关键就在于再重新建立会话的这个过程，所以想要触发rememberme的话请求包中就不能有SessionID,删除SessionID后再携带rememberme进行一次请求就可以触发rememberme的反序列化点，如下图所示
　　最终通过base64解码，然后AES解密，解密后的结果再经过反序列化，就还原成了一个PrincipalCollection对象，至此Shiro rememberme的生成以及作用，还有如何触发rememberme反序列化，都已讲解完毕。
　　总结
　　Apache Shiro是一款相当优秀的认证授权框架，虽然在护网等大型攻防项目中，经常被作为突破口，但是仍然瑕不掩瑜，shiro的反序列化在流量识别中是比较容易判断的，因为序列化数据的传递必须要通过Cookie中的rememberme字段，但是纵使识别出来，但是如果不知道密钥的话，也无法得知传递的内容。