shiro-550反序列漏洞

created: "2025-05-07 23:17"
tags:
  - shiro
  - java安全
Type: Note
aliases:
  - shiro550
  - shiro-550
  - CVE-2016-4437
updated: "2025-05-08 09:11"

Pasted image 20250508092632
Apache Shiro 是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能，Shiro框架直观、易用、同时也能提供健壮的安全性。

1. 漏洞原理

shiro 1.2.24及以下中，提供了硬编码的AES密钥：kPH+bIxk5D2deZiIxcaaaA==
Apache Shiro框架提供了记住密码的功能（RememberMe），用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值，先base64解码然后AES解密再反序列化，就导致了反序列化RCE漏洞。
那么，Payload产生的过程：
命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值
在整个漏洞利用过程中，比较重要的是AES加密的密钥，如果没有修改默认的密钥那么就很容易就知道密钥了,Payload构造起来也是十分的简单。

影响版本 Apache Shiro <= 1.2.4
漏洞编号： CVE-2016-4437

2. Shiro反序列化的特证

返回包中会包含 rememberMe=deleteMe 字段
这种情况大多会发生在登录处，返回包里包含 remeberMe=deleteMe 字段，这个是在返回包中(Response)
如果返回的数据包中没有 remeberMe=deleteMe 字段的话，可以在数据包中的Cookie中添加remeberMe=deleteMe字段这样也会在返回包中有这个字段

3. 漏洞利用

3.1. 基本内容

检测是否存在默认的key
通过在cookie的rememberMe字段中插入恶意payload，
触发shiro框架的rememberMe的反序列化功能，导致任意代码执行。
shiro 1.2.24中，提供了硬编码的AES密钥：kPH+bIxk5D2deZiIxcaaaA==

3.2. 环境搭建

docker pull medicean/vulapps:s_shiro_1
docker run -d -p 8080:8080 medicean/vulapps:s_shiro_1

3.3. 漏洞复现

抓包登录判断出是shiro框架，直接用 Pyke-Shiro 梭哈即可
Pasted image 20250508001610
爆破一下利用链，选择有效的链子即可
比如我这里执行 whoami 那么就会发送对应的payload
Pasted image 20250508001946
Payload产生的过程：命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值

参考文章：
Shiro反序列化漏洞利用详解（Shiro-550+Shiro-721）Shiro反序列化漏洞利用详解（Shiro-55 - 掘金
 Shiro反序列化漏洞利用汇总（Shiro-550+Shiro-721） - Bypass - 博客园