标签：2016 默认 漏洞 shiro 序列化 Shiro 密钥

漏洞原理

Apache Shiro 是 Java 的一个安全框架，可以帮助我们完成：认证、授权、加密、会话管理、与 Web 集成、缓存等功能，应用十分广泛。

Shiro最有名的漏洞就是反序列化漏洞了，加密的用户信息序列化后存储在名为remember-me的Cookie中，攻击者使用Shiro的默认密钥伪造用户Cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令。这里最关键的切入点就是默认密钥了，这个漏洞已经出来5年多了，不知道为啥，实际工作中还是经常发现开发木有修改默认密钥。。。

 

漏洞复现

靶场：https://github.com/vulhub/vulhub/tree/master/shiro/CVE-2016-4437

靶场环境搭建参考：https://www.cnblogs.com/sallyzhang/p/12307824.html

启动靶场：

从请求的返回包判断出使用了shiro：

用工具检测出存在shiro命令执行漏洞：

执行反弹shell命令：

 反弹成功：

 

试着执行一些简单的命令，执行成功。这个工具无法直接反弹回来，这样操作好累>_<

 

换成exp，继续。看了下网上的大大们好多最后都没反弹成功，咱先试试吧。

生成伪造的cookie，为啥能生成伪造的cookie，因为用的是默认密钥：

用伪造的cookie发请求：

 反弹过来了，但是没办法执行命令，好吧，试试就逝世了 >_<

   

 

再换个工具继续撸

直接回显命令：

验证一下，执行成功：

也能直接反弹回去（该工具在github上找的，目前已经删除了）：

 666，成功了，事实证明，没事儿自己少瞎折腾，巨人的肩膀真的好舒服~

 

修复建议

升级到最新版本，且不要使用默认的key。

建议使用shiro的同学们自己找个shiro工具扫描一下，看看是否存在该漏洞。

 

本文仅用于技术学习和交流，严禁用于非法用途，否则产生的一切后果自行承担。

如需转载，请注明出处，这是对他人劳动成果的尊重。

 

标签：2016,默认,漏洞,shiro,序列化,Shiro,密钥
来源： https://www.cnblogs.com/sallyzhang/p/16164122.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。