红队第4篇 | Shiro Padding Oracle无key的艰难实战利用过程

‍ Part1 前言 大家好，上期分享了银行站的一个Java 的SSRF组合洞案例，这期讲讲分享一个Shiro Padding Oracle漏洞利用过程。Shiro反序列化漏洞自16年公布以来，至今已经有6年了，每次攻防比赛都还能遇到，其攻击大致可分为2种方式： 1   一种就是平时攻击队最常用的Shiro-550，对应CVE-2016-4437，影响范围Apache shiro漏洞成因是AES的秘钥是硬编码的，漏洞利用的前提是需要猜到加密key。 2   另外一种就是Shiro-721，对应CVE-2019-12422，影响范围Apache Shiro 。后期Shiro组件的加密key是系统随机产生的，无法猜到key。但是安全专家很快发现，Shiro的加密方式是AES-128-CBC，CBC加密方式存在一个 Padding Oracle Attack漏洞，可以得到一个存在反序列化数据的AES加密密文，发送给服务端后，shiro组件会解密然后触发反序列化代码执行漏洞。这种攻击方式的前提是需要登录后台获取 ………………………………