shiro反序列化漏洞-简述

1.Shiro反序列化漏洞背景

Shiro框架在用户登录时会使用RememberMe功能，将用户信息序列化后加密存储在Cookie中。当用户再次访问时，Shiro会从Cookie中读取RememberMe字段的值，解密后反序列化还原用户信息。

漏洞的核心问题在于：

Shiro使用的默认加密密钥是硬编码的（kPH+bIxk5D2deZiIxcaaaA==），攻击者可以利用该密钥构造恶意序列化数据。

反序列化过程中未对输入数据进行严格校验，导致攻击者可以触发Java反序列化漏洞。

2.漏洞利用方式

利用条件：

目标系统使用了Shiro框架，并开启了RememberMe功能。

目标系统中存在可利用的反序列化链（如CommonsBeanutils、CommonsCollections等）。

利用步骤：

获取加密密钥：

    如果目标系统未修改默认密钥，可以直接使用kPH+bIxk5D2deZiIxcaaaA==。

    如果密钥被修改，可以通过其他漏洞（如文件读取）获取密钥。

构造恶意序列化数据：

    使用ysoserial等工具生成恶意序列化数据。

        例如：java -jar ysoserial.jar CommonsBeanutils1 "touch /tmp/success" > payload.ser

    将生成的序列化数据使用Shiro的AES加密算法加密。

构造恶意Cookie：

    将加密后的恶意序列化数据作为RememberMe字段的值，发送给目标服务器。

触发漏洞：

    目标服务器解密RememberMe字段并反序列化数据，触发恶意代码执行。

3.流量特征

Shiro反序列化漏洞的流量特征主要体现在Cookie中：

请求特征：

    Cookie中包含RememberMe字段，值为加密后的序列化数据。

    加密数据通常为Base64编码，长度较长。

响应特征：

    如果漏洞利用成功，响应中可能包含命令执行结果（如文件创建、网络请求等）。

    如果利用失败，可能会返回500错误或Shiro的默认错误页面。

实际流量示例：

请求：
GET / HTTP/1.1
Host: example.com
Cookie: RememberMe=ejJkZDI4YjYtOTUwMy00MjM2LTg4Nz...


响应：
HTTP/1.1 200 OK
Content-Type: text/html

<html>
<body>
<h1>Hello, World!</h1>
</body>
</html>

4.防御措施

修改默认密钥：

 在Shiro配置文件中修改cipherKey，使用随机生成的密钥。

 例如：
 ini
 复制

 securityManager.rememberMeManager.cipherKey = 随机生成的Base64编码密钥

禁用RememberMe功能：

 如果不需要RememberMe功能，可以在配置中禁用。

升级Shiro版本：

 及时升级到最新版本，修复已知漏洞。

使用安全的序列化机制：

 避免反序列化不可信的数据。

监控异常流量：

 监控包含RememberMe字段的请求，及时发现攻击行为。