Apache Shiro 组件反序列化漏洞分析

最新推荐文章于 2025-06-03 17:36:08 发布
最新推荐文章于 2025-06-03 17:36:08 发布
阅读量1.5k 收藏
点赞数 1
CC 4.0 BY-SA版权
文章标签: apache java eclipse tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/why811/article/details/133904219
本文主要介绍Shiro反序列化漏洞,包括Shiro - 550和Shiro - 721。Shiro为保持用户登录状态,将持久化信息加密存于Cookie的rememberMe字段。在Shiro 1.2.4版本前有默认固定加密Key,攻击者可伪造Cookie触发漏洞。还分析了漏洞产生原因、加密解密过程及1.2.5版本修复情况。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

概述

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

它的原理比较简单:为了让浏览器或服务器重启后用户不丢失登录状态,Shiro支持将持久化信息序列化并加密后保存在Cookie的rememberMe字段中,下次读取时进行解密再反序列化。但是在Shiro 1.2.4版本之前内置了一个默认且固定的加密Key,导致攻击者可以伪造任意的rememberMe Cookie,进而触发反序列化漏洞。

Shiro反序列化漏洞目前为止有两个,Shiro-550(Apache Shiro < 1.2.5)和Shiro-721( Apache Shiro < 1.4.2 )。这两个漏洞主要区别在于Shiro550使用已知密钥撞,后者Shiro721是使用登录后rememberMe={value}去爆破正确的key值进而反序列化,对比Shiro550条件只要有足够密钥库(条件比较低)、Shiro721需要登录(要求比较高鸡肋)。

Apache Shiro < 1.4.2默认使用AES/CBC/PKCS5Padding模式

Apache Shiro >= 1.4.2默认使用AES/GCM/PKCS5Padding模式

shiro反序列化漏洞成因

概述

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

它的原理比较简单:为了让浏览器或服务器重启后用户不丢失登录状态,Shiro支持将持久化信息序列化并加密后保存在Cookie的rememberMe字段中,下次读取时进行解密再反序列化。但是在Shiro 1.2.4版本之前内置了一个默认且固定的加密Key,导致攻击者可以伪造任意的rememberMe Cookie,进而触发反序列化漏洞。

Shiro反序列化漏洞目前为止有两个,Shiro-550(Apache Shiro < 1.2.5)和Shiro-721( Apache Shiro < 1.4.2 )。这两个漏洞主要区别在于Shiro550使用已知密钥撞,后者Shiro721是使用登录后rememberMe={value}去爆破正确的key值进而反序列化,对比Shiro550条件只要有足够密钥库(条件比较低)、Shiro721需要登录(要求比较高鸡肋)。

Apache Shiro < 1.4.2默认使用AES/CBC/PKCS5Padding模式

Apache Shiro >= 1.4.2默认使用AES/GCM/PKCS5Padding模式

Shiro-550:Hard Code->Deserialize->RCE

Shiro 550 反序列化漏洞存在版本:

shiro <1.2.4,产生原因是因为shiro接受了Cookie里面rememberMe的值,然后去进行Base64解密后,再使用aes密钥解密后的数据,进行反序列化。

这个aes密钥是硬编码(简称写死),也就是他密钥是写死在jar包里面的,众所周知AES 是对称加密,即加密密钥也同样是解密密钥,那如果我们能知道了这个密钥就可以伪造恶意cookie

接下来我们从Cookie的加密和解密过程来了解shiro-550

Cookie加密过程

直接来看shiro的CookieRememberMeManager在org.apache.shiro.web.mgt.CookieRememberMeManager#rememberSerializedIdentity里面,存在一个将serialized数据Base64加密然后作为Cookie返回的行为

我们看下哪些地方调用了这个方法,狂摁Ctrl+B:

 org.apache.shiro.web.mgt.CookieRememberMeManager#rememberSerializedIdentity<-
 org.apache.shiro.mgt.AbstractRememberMeManager#rememberIdentity<-
 org.apache.shiro.mgt.AbstractRememberMeManager#rememberIdentity(重载)<-
 org.apache.shiro.mgt.AbstractRememberMeManager#onSuccessfulLogin

看到这个函数名都知道是登陆成功调用的,如果继续跟下去的话,会有:

 org.apache.shiro.mgt.DefaultSecurityManager#rememberMeSuccessfulLogin <-
 org.apache.shiro.mgt.DefaultSecurityManager#onSuccessfulLogin<-
 org.apache.shiro.mgt.DefaultSecurityManager#login<-
 ……

会追溯到Filter之类的,大概就是:

登陆->登陆成功->设置Base64编码后的AES加密的Cookie

在onSuccessfulLogin方法这里下个断点

在调用rememberIdentity之前先调用isRememberMe判断了用户是否选择了RememberMe选项,如果选了进入rememberIdentity方法

这个方法先创建一个PrincipalCollection对象,包含了登录信息。

随后进入rememberIdentity方法

这个方法调用convertPrincipalsToBytes把序列化后的PrincipalCollection对象加密,然后返回

而这个seriallize方法,调用org.apache.shiro.mgt.AbstractRememberMeManager#getEncryptionCipherKey去获取加密的key

跟进,发现直接返回了一个属性

转到定义,这个属性貌似是预先定义好的,虽然没看出究竟是哪里定义的,不过我们可以看到一个叫做DEFAULT_CIPHER_KEY_BYTES的东西,这个就是传说中的硬编码的shirokey

之后就是调用rememberSerializedIdentity返回base64加密的cookie了。

接下来康康解密过程:

Cookie解密过程

我们其实可以猜测,加密解密的功能实际上都是由这个

org.apache.shiro.web.mgt.CookieRememberMeManager类来实现的,在这个类里面四处找一找,可以找到getRememberedSerializedIdentity方法里面有一行:

这个很像获取Cookie然后去读取值的操作,在这里下个断点,带着Cookie访问服务,果然就断下来了

单步跟进,发现他获取到了我们的Cookie:

随后判断了一下我们Cookie的值是不是等于DELETED_COOKIE_VALUE (deleteMe),如果不是则进行decode并且返回:

返回到了这里:

并且调用convertBytesToPrincipals(这个函数名字是不是很熟悉?),将Cookie的结果转化为凭据(PrincipalCollection对象)

因为之前加密过程调用convertPrincipalsToBytes,是一个序列化过程,那这里显然就是一个反序列化过程,跟进:

解密,而后反序列化;

跟进,触发点在

org.apache.shiro.io.DefaultSerializer#deserialize

1.2.5 版本修复

修改了org.apache.shiro.mgt.AbstractRememberMeManager的硬编码方式,并且去掉了默认key,采用随机生成的shiro AES key

但是这个key是可以自定义的:

private static final String ENCRYPTION_KEY = "3AvVhmFLUs0KTA3Kprsdag==";
public CookieRememberMeManager rememberMeManager() {
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(rememMeCookie());
        // remeberMe cookie 加密的密钥 各个项目不一样 默认AES算法 密钥长度(128 256 512)
        cookieRememberMeManager.setCipherKey(Base64.decode(ENCRYPTION_KEY));
        return cookieRememberMeManager;
}

或者:

spring-shiro.xml

在安全管理器SecurityManager中加入rememberMeManager;

添加rememberMeManager,调用getCipherKey()随机生成密钥。

理论上只要AES加密钥泄露,都会导致反序列化漏洞,也就是说,只要你硬编码,就有可能有爆破的风险

Shiro-721:Padding Oracle Attack->Shiro AES key->shiro550

这个就不是重点了,shiro721本来利用需要先登陆获得有效的rememberMe={value}去爆破正确的key值进而反序列化,利用十分鸡肋。

关于Padding Oracle Attack看这篇:

padding oracle和cbc翻转攻击

大概过程是这样:

比如我们的明文为admin
则需要被填充为 admin\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b
一共11个\x0b
如果我们输入一个错误的iv,依旧是可以解密的,但是middle和我们输入的iv经过异或后得到的填充值可能出现错误
比如本来应该是admin\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b
而我们错误的得到admin\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x3b\x2c
这样解密程序往往会抛出异常(Padding Error)
应用在web里的时候,往往是302或是500报错
而正常解密的时候是200
所以这时,我们可以根据服务器的反应来判断我们输入的iv

如果发送的rememberMe可以正确解析

否则会抛出异常,返回deleteMe

通过这一点的不同,我们可以向服务发出一个oracle:“我这个iv解密出的padding对不对?”

如果是对的,正确解析,如果是错的返回deleteMe,基于此反复发出Oracle来爆破iv,再控制iv来控制解密后的明文(也就是不需要key了)

这里还有一点,为什么需要一个合法用户的rememberMe,因为Shiro会获取用户信息,如果不是合法用户也会返回异常从而抛出deleteMe,这样Oracle就没办法实现了。

why811
关注
反序列化漏洞
weixin_46476861的博客
03-23 8865
什么是反序列化 就是把一个对象变成可以传输的字符串,目的就是为了方便传输。假设,我们写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个class一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。当我们写一个小型的项目可能没有太大的影响,但是随着项目的壮大,一些小问题被放大了之后就会产生很多麻烦。这个时候PHP就和我们说,你可以把这个对象序列化了,存成一个字符串,当你要用的时
PHP反序列化漏洞
m0_57379855的博客
03-12 3204
PHP反序列化漏洞PHP类与对象类对象Magic函数PHP序列化与反序列化不同类型的序列化pubilc与private反序列化反序列化漏洞的出现CTF题目分析PHP反序列+文件包含攻防世界Typecho反序列化漏洞PHP反序列化漏洞防御 PHP类与对象 类 一个共享相同结构和行为的对象的集合 对象 类的实例 Magic函数 PHP序列化与反序列化 序列化:把对象转化为可传输的字节序列过程称为序列化,可以在任何地方 反序列化:把字节序列还原为对象的过程称为反序列化。 不同类型的序列化 布尔值:b:
Apache Shiro反序列化漏洞
qq_63980959的博客
02-29 1285
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性。​ 首先说一下何为序列化,序列化就是指把Java对象转换为字节序列的过程,shiro框架为java框架同时使用了序列化。shiro框架的整体流程为:用户登录成功时会生成一段由序列化–>aes加密—>base64编码构成的cookie值。
深入剖析 Java 反序列化漏洞,(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
Libra1313的博客
06-03 986
每天早上七点三十,准时推送干货。
Apache Shiro 反序列化漏洞全解析(Shiro-550 & Shiro-721)
Aishenyanying33的博客
03-03 2240
Apache Shiro 是一个强大的 Java 安全框架,广泛用于用户认证、授权、加密和会话管理。然而,由于 Shiro 在某些版本中存在反序列化漏洞,攻击者可以通过特定手法实现远程代码执行(RCE),进而获取服务器控制权。 本文将深入剖析 Shiro-550 和 Shiro-721 漏洞,从原理、发现方法到实际攻击演示,确保读者从认知到实战都能掌握。
反序列化漏洞_Apache Shiro Java反序列化漏洞
weixin_39552768的博客
12-14 474
一、漏洞介绍Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Shiro提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。Shiro对rememberme的cookie做...
Apache Shiro Java反序列化漏洞分析
2301_77512689的博客
04-18 621
最终利用ysoserial的CommonsBeanutils1命令执行。虽然在ysoserial里CommonsBeanutils1类的版本为1.9.2,不过上面环境测试确实可以命令执行。这里当时有一个问题是:如何获取Java里引用组件的版本?大多数的时候,我们只要解析pom.xml就能解析出相应组件的版本。但有的情况下,并不能获取组件的版本。比如有的pom.xml并没有设置组件的version版本,没有设置version的情况,是由依赖决定。项目中依赖了A,A依赖了B,B的版本由A决定;
Shiro反序列化漏洞检测工具
01-05
1. **升级Shiro版本**:确保Shiro框架的版本高于1.2.4,因为从1.2.5开始,Apache Shiro已经修复了这个反序列化漏洞。 2. **禁用不必要的序列化**:避免在不受信任的输入上进行反序列化,尤其是在处理网络数据时。 3....
【靶机实战】Shiro550反序列化漏洞复现
qq_21039641的博客
07-04 631
Shiro550漏洞,也称为Apache Shiro反序列化漏洞(CVE-2016-4437),是存在于Apache Shiro 1.2.4及以前版本中的一个安全漏洞。该漏洞允许攻击者利用Shiro框架在处理记住密码功能(RememberMe)时使用的默认或可预测的AES加密密钥,通过构造恶意的序列化数据并将其加密和编码后发送至服务端,导致服务端在解密并反序列化过程中执行攻击者预设的代码,从而可能获取服务器的控制权。
Shiro反序列化漏洞详细分析 .pdf
09-05
本文主要探讨了Shiro中的一个严重安全漏洞,即shiro-550反序列化漏洞,以及与其相关的shiro-721 Padding Oracle Attack。这个漏洞可能导致攻击者执行任意代码,对企业的业务风控和信息安全构成威胁。 **shiro-550...
Apache Shiro 反序列化漏洞Shiro-550 CVE-2016-4437)
渗透测试研究中心
12-03 1620
0x00 漏洞描述Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令只要remem...
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
Apache shiro1.2.4反序列化漏洞介绍 Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。
shiro反序列化漏洞
2403_82795493的博客
02-19 1388
Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532),当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。会存在一段base64加密的字段,解码后就是攻击者的回显内容。shiro721的加密key基本猜不到,系统随机生成,可以使用登陆后的rememberMe去爆破正确的key值,即利用有效的RememberMe Cookie作为。
Apache Shiro 1.2.4 反序列化漏洞(CVE-2016-4437)
qq_51163834的博客
06-05 2312
Apache Shiro框架提供了记住密码的功能,用户登录成功后会将用户信息加密,加密过程:用户信息=>序列化=>AES加密=>BASE64编码=>RememberMe Cookie值。如果用户勾选记住密码,那么在请求中会携带cookie,并且将加密信息存放在cookie的rememberMe字段里面,在服务器收到请求对RememberMe值,先进行base64解码然后AES解密在反序列化,这个加密过程如果我们知道AES加密的密钥,那么我们把用户信息替换成恶意命令,就导致了反序列化RCE漏洞
Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)
m0_61506558的博客
11-06 2923
关于shiro在2019年爆出来的漏洞,利用的条件相对来说比较苛刻,不仅要有一定的权限登入进去,进去之后密钥爆破也不一定可以成功,环境不好搭建,感兴趣的师傅可以看看,本篇文章介绍的是有关shiro反序列化漏洞,(一)基本介绍。
Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437、Shiro-550)
不曾扬帆,何以至远方
07-16 614
Shiro 1.2.4 反序列化Shiro 550、CVE-2016-4437
Apache Shiro反序列化漏洞复现(Shiro550,CVE-2016-4437)
来到了学渣的博客
04-25 9182
Shiro是什么东西? ShiroJava 的一个安全框架,执行身份验证、授权、密码、会话管理 shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。 ...
apache shiro - 550反序列化漏洞
01-05
### 关于Apache Shiro 550反序列化漏洞详情 对于Apache Shiro存在的反序列化漏洞,具体到CVE编号为CVE-2016-4437而非CVE-2022-42889。此漏洞存在于Apache Shiro<=1.2.4版本中,在返回包的Set-Cookie中存在`rememberMe=deleteMe`字段可以作为识别该漏洞的一个标志[^1]。 当应用程序使用了不安全的方式处理rememberMe功能时,攻击者可以通过构造恶意输入来触发Java对象的反序列化过程,从而执行任意代码。这一特性使得攻击者能够在服务器端运行未经许可的操作,造成严重的安全隐患[^3]。 为了检测是否存在上述提到的安全风险,可借助专门开发出来的工具如ShiroExploit来进行测试;这些工具能够帮助确认目标环境是否容易受到此类攻击的影响,并提供相应的证据支持[^4]。 ### 修复措施建议 针对已知的Apache Shiro反序列化漏洞(CVE-2016-4437),官方推荐升级至更高版本以获得最新的安全性改进和支持。除了及时更新软件外,还应采取其他预防性策略: - **禁用Remember Me功能**:如果业务逻辑允许的话,考虑完全关闭记住我的选项。 - **加强依赖库管理**:定期审查项目所使用的第三方组件及其版本号,确保它们都是最新且经过充分审计的状态。 - **实施严格的输入验证机制**:无论是来自客户端还是内部服务之间的通信数据都应该被仔细过滤和校验,防止潜在危险载荷进入系统核心区域。 ```bash # 更新Shiro到最新稳定版 mvn install:install-file -Dfile=/path/to/apache-shiro-core-latest.jar \ -DgroupId=org.apache.shiro \ -Dversion=<new_version> \ -Dpackaging=jar ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值