shiro反序列化漏洞复现（CVE-2016-4437 ）

最新推荐文章于 2025-10-24 18:45:40 发布

原创

最新推荐文章于 2025-10-24 18:45:40 发布 · 2.7k 阅读

19 ·

CC 4.0 BY-SA版权

文章标签：

#java #安全 #测试工具

文章介绍了ApacheShiro框架中的CVE-2016-4437漏洞，涉及RememberMe功能的加密数据验证问题。详细描述了漏洞原理、影响范围、复现步骤，以及如何利用ysoserial工具进行攻击和修复建议。

1、简介

Apache Shiro是一个强大且易于使用的Java安全框架，提供认证、授权、加密以及会话管理功能。CVE-2016-4437具体涉及了Apache Shiro在使用记住我（RememberMe）功能时的反序列化漏洞。

2、漏洞原理

原因在于Apache Shiro对加密的RememberMe cookie的处理。在正常情况下，RememberMe功能让用户在返回网站时不用再次登录。为了提供这种功能，Shiro需要在客户端和服务器之间安全地传输身份验证数据。Shiro通过使用AES加密算法加密身份验证数据来实现这一点，然后将加密后的数据存储在cookie中。但是由于Shiro在版本1.2.4之前没有正确地验证加密数据，导致了可能的漏洞

3、影响范围

Apache Shiro <= 1.2.4

4、启动环境

利用docker启动vulhub环境

浏览器访问靶机IP加8080端口，搭建成功页面。

5、漏洞复现

随意输入账密点击登录并burp抓包，返回包中存在rememberMe=deleteMe字段，证明使用了shiro框架（注意：返回包中存在ememberMe=deleteMe字段，只能证明使用了shiro，并不能代表一定存在反序列化漏洞）

burp插件ShiroScan，检测到可能存在漏洞（八九不离十是存在漏洞的）

简单说一下插件的安装，将下载好的包解压，参考下图添加插件。插件地址<

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

网安-Dream

关注关注

23
点赞
踩
19

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Apache Shiro 1.2.4 反序列化漏洞(CVE-2016-4437 )

渗透之路，攻防之间皆学问

03-28

1万+

Shiro 1.2.4 反序列化漏洞

shiro-cve_2016_4437漏洞复现

0day

01-29

991

shiro-cve_2016_4437漏洞复现漏洞概述：该漏洞发布于2016年6月，属于java反序列化漏洞的一种，Apache Shiro是一个Java安全框架，执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我（RememberMe）的功能，关闭了浏览器下次再打开时还是能记住你是谁，下次访问时无需再登录即可访问。 Shiro对rememberMe的cookie做了加密处理，shiro在CookieRememberMeManaer类中将cookie中rememberMe

1 条评论您还未登录，请先登录后发表或查看评论

1 条评论

优快云-Ada助手 2024.01.21
恭喜您撰写第5篇博客！对于“shiro反序列化漏洞复现（CVE-2016-4437）”这个标题，我觉得您选择了一个非常有挑战性和具有实用意义的主题进行研究。您的实验复现以及对漏洞的解释都非常清晰，让读者能够更好地理解该漏洞的危害性。在我看来，您在博客中的解释和示例都非常出色，但或许可以再加入一些更深入的技术细节和漏洞利用的实践案例，这将进一步提升文章的质量。同时，我也期待您在未来的博客中能够分享一些关于漏洞修复和安全防护的实用建议，这将对读者们非常有帮助。最后，再次恭喜您取得了这样的进展，期待您在接下来的创作中能够持续保持谦虚态度，继续为我们带来更多有价值的博客文章！

shiro反序列化漏洞复现（CVE-2016-4437）

m0_70349048的博客

05-19

876

cookie的key为RememberMe，cookie的值是经过相关信息进行序列化，然后使用AES加密（对称），最后再使用Base64编码处理。，这意味着攻击者只要通过源代码找到AES加密的密钥，就可以构造一个恶意对象，对其进行序列化，AES加密，Base64编码，然后将其作为cookie的Remember Me字段发送，Shiro将RememberMe进行解密并且反序列化，最终造成反序列化漏洞。将生成的payload复制到请求包cookie的位置, 发包。可以看到，已经能够远程执行任意命令了。

CVE-2016-4437 Shiro反序列化漏洞复现

weixin_45260839的博客

05-15

3089

CVE-2016-4437 Shiro反序列化漏洞复现

Shiro反序列化漏洞提权渗透实战：原理+复现（CVE-2016-4437）

最新发布

mooyuan的网络安全博客

10-24

1167

本文详细分析了Apache Shiro框架的反序列化漏洞(CVE-2016-4437)，该漏洞因硬编码密钥导致攻击者可通过rememberMe Cookie执行任意代码。文章介绍了漏洞检测方法（通过Burp Suite抓包识别特征）和利用工具ShiroAttack2的实战过程，包括密钥爆破、命令执行和内存马注入。最后演示了使用哥斯拉木马连接被控服务器的完整流程，包含URL配置、密码设置和命令执行等步骤。防御建议包括升级版本、更换密钥和限制反序列化类等。

shiro反序列化漏洞复现(CVE-2016-4437)

huangyongkang666的博客

04-14

4199

shiro反序列化漏洞复现(CVE-2016-4437) 1.漏洞简介 Apache Shiro是一个强大且易用的Java安全框架，执行身份验证、授权、密码和会话管理。使用Shiro易于理解的API，开发者可以快速、轻松地获得任何应用程序，从最小的移动应用程序到最大的网络和企业应用程序漏洞原理：在Shiro <= 1.2.4中，反序列化过程中所用到的AES加密的key是硬编码在源码中，当用户勾选RememberMe并登录成功，Shiro会将用户的cookie值序列化，AES加密，接着base64编

Shiro 漏洞复现（CVE-2016-4437）

qq_42699326的博客

11-23

1252

CVE-2016-4437 是一个认证绕过漏洞，Shiro 在使用 Cookie 存储会话信息时，未对。

《从 AES 密钥硬编码到 shell 反弹：Shiro CVE-2016-4437 漏洞全链路复现》

我是网络安全兼技能大赛工程师，专注网络安全技术学习与技能大赛实战！持续分享最新的技术文章，帮你少走弯路，一起在技术赛道上进步～

09-28

1187

Apache Shiro是美国阿帕奇（Apache）软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。 Apache Shiro默认使用了CookieRememberMeManager，其处理cookie的流程是：得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的，就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。

Shiro-CVE-2016-4437 漏洞复现（vulhub靶场搭建）

zzxyccxc的博客

09-12

1628

Apache Shiro框架提供了记住密码的功能（RememberMe），用户登录成功后会将用户信息加密，加密过程:用户信息=>序列化=>AES加密=>base64编码=>RememberMe Cookie值。

Shiro550 反序列化漏洞（CVE-2016-4437）

qq_68163788的博客

06-20

1431

Apache Shiro是一个强大而易用的Java安全框架，专注于提供认证、授权、加密和会话管理等安全功能。Shiro旨在简化安全性，通过直观的设计和简单的API使安全功能的集成变得轻松。开发人员可以选择多种认证方式，灵活地管理用户的角色和权限，以确保对资源的安全访问。此外，Shiro还提供了便捷的加密工具，用于保护敏感数据的存储和传输。综合来看，Apache Shiro是一款功能全面且易于使用的安全框架，为开发人员提供了完善的安全解决方案，帮助他们构建安全可靠的应用程序。

Shiro反序列化漏洞（CVE-2016-4437）+docker靶场+工具利用

weixin_46411728的博客

07-16

3084

shiro_attack_2.2

shiro反序列化漏洞详解与复现（shiro-550/CVE-2016-4437）

ccccai22的博客

08-28

428

shiro反序列化漏洞（shiro-550/CVE-2016-4437）

CVE-2016-4437---Shiro反序列化漏洞

qq_44880255的博客

08-10

4289

1、影响版本 Apache Shiro <= 1.2.4 2、漏洞原因 Apache Shiro默认使用了CookieRememberMeManager。其处理cookie的流程是：得到rememberMe的cookie值；Base64解码；AES解密；反序列化。然而AES的密钥是硬编码的，即AES加解密的密钥是写死在代码中的，攻击者可以构造恶意数据造成反序列化漏洞。 3、漏洞复现这里使用的环境是Kali中的vulhub和docker。首先进入目录vulhub/shiro/CVE-2016

shiro反序列化漏洞复现

m0_52789121的博客

04-07

4936

目录简介：靶场环境漏洞复现一、手工复现二、图形化工具简介： Apache Shiro是一个强大易用的Java安全框架，提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用，同时也能提供健壮的安全性漏洞原理： Apache Shiro框架提供了记住密码的功能（RememberMe），用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值，先base64解码然后AES解密再反序列化，就导致了反序列化RCE漏洞。那么，Payload

Apache shiro550 CVE-2016-4437复现

weixin_65582330的博客

03-20

1155

填好目标地址，然后爆破密钥，用已知的密钥库爆破，然后检测当前的利用链，再爆破利用链，利用链可以进行选择，一个不行就换下一个。apache shiro提供了登录信息保存的功能，服务器在验证用户身份的过程中有反序列化操作，这是导致漏洞的主要原因。随便输入账号密码进行抓包，可以看到有rememberme=remember-me，为shiro的特征。这时就会让服务器访问我们建立好的JRMP的服务，然后让服务器反弹连接到攻击机的7777端口。然后再手动复现一遍：下面是大概的利用方式。# 生成随机16位长度的IV。

[CVE-2016-4437] Apache Shiro 安全框架反序列化漏洞复现与原理详细分析

Specif1c的博客

10-21

5639

Apache Shiro是一个强大且易用的 Java安全框架,执行身份验证、授权、密码和会话管理。shiro 相比于 springsecurity 简单许多，官方号称 10 分钟就能学会。shiro 反序列化漏洞是 Java 经典漏洞，于2016年被挖掘出来，到现在依旧很多系统存在该漏洞，非常值得学习，对加深 shiro 认证机制的理解以及java代码审计颇有帮助。

shiro CVE-2016-4437 漏洞复现

qq_40646572的博客

05-09

1190

shiro550漏洞，漏洞点就在于用户信息反序列化可利用,并且加密的key值给了一个固定的默认值的，导致很多开发人员直接使用，接着导致了洞的产生。

漏洞复现:CVE-2016-4437 Apache Shiro 反序列化

m_ing

06-28

1637

前言：从今天开始复现漏洞啦我们首先要知道什么是反序列化呢漏洞呢？在这里不做解释，建议大家查看反序列化漏洞原理什么是Shiro？ shiro默认使用CookieRememberMeManager，对rememberMe的cookie做了加密处理，在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操作。服务器端识别身份解密处理cookie的流程则是：（1）获取rememberMe cookie （2）base64

【渗透测试】-CVE-2016-4437-Shiro550漏洞复现

weixin_65311462的博客

09-13

1411

Shiro550漏洞（CVE-2016-4437）是Apache Shiro框架中的一个高危反序列化漏洞，主要影响版本为1.2.4及以前版本。该漏洞允许攻击者通过RememberMe功能实现远程代码执行（RCE）。及时更新Apache Shiro框架到最新版本，确保已修复该漏洞。对来自用户的输入进行严格的验证和过滤处理，以防止恶意代码的注入。使用安全的加密算法和密钥管理策略来保护敏感数据。

Docker环境下复现Shiro反序列化漏洞（CVE-2016-4437）

08-03

</think>### Docker搭建Apache Shiro反序列化漏洞环境（CVE-2016-4437） #### 环境搭建步骤： 1. **拉取漏洞镜像** 使用官方漏洞测试镜像（需提前安装Docker）： ```bash docker pull medicean/vulapps:s_shiro...