Shiro反序列化漏洞复现

Shiro简介

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。

影响范围

Apache Shiro <= 1.2.4

漏洞简介

Shiro反序列化漏洞主要存在Java开发的网站程序中，它是也属于java的反序列化漏洞。特征是响应包存在rememberMe标记，或者人为修改登陆包，在Cookie中rememberMe=deleteMe，同样观察回包是否存在rememberMe标记。如果存在，基本确定采用Shiro框架进行的认证或权限控制。，其处理cookie的流程是：
得到rememberMe的cookie值 ->Base64解码 –>AES解密 –>反序列化。

环境搭建

利用工具：https://github.com/j1anFen/shiro_attack/releases/tag/2.2
使用docker拉取漏洞镜像：

docker pull medicean/vulapps:s_shiro_1
systemctl restart docker
docker run -d -p 8081:8080 medicean/vulapps:s_shiro_1

访问http://your-ip:8081出现如下界面即代表环境搭建成功

漏洞复现

使用burpsuite抓包，看到rememberMe=deleteMe字段，猜测可能存在shiro反序列化

使用工具进行检测
下载后有两个文件，双击shiro_attack-2.2.jar文件即可

如果双击没反应，那应该是java版本太高了，下载一个java8就可以了https://www.oracle.com/java/technologies/downloads/#java8

命令执行

文件上传

漏洞修复

目前官方发布了最新版本 ，强烈建议您更新并使用最新版本。