记一次shiro应急响应

01 事件背景介绍

某内部应急演练中，安全部门监测到WAF上存在shiro攻击成功告警信息，现需根据流量情况进行安全事件分析。

02 事件分析过程

根据WAF日志，确认发起攻击的IP地址，以该地址为源地址进行搜索，寻找攻击痕迹及路径。从流量包情况分析，存在攻击者使用10.X.X.7扫描器对80.X.X.49进行扫描的攻击流量。



根据响应包判断存在shiro反序列化漏洞探测行为




发现有一个响应包没有rememberMe=deleterMe字段，说明可能爆破出可利用的shiro key，解密rememberMe字段得到key



进一步分析流量发现，存在攻击者使用shiro漏洞写入webshell: /docs/3.jsp行为



存在连接加密webshell: /docs/3.jsp流量，详情如下




据此判断主机80.X.X.49失陷，攻击者已获取Webshell权限，继续观察其他流量，未发现其余明显异常行为。

进一步通过漏洞工具验证存在shiro漏洞问题，且存在3.jsp webshell文件。

03 事件分析结果

攻击者10.X.X.7对80.X.X.49进行漏洞扫描，发现存在shiro漏洞并利用成功，在/root/apache-tomcat-8.5.66/webapps/docs目录下写入冰蝎webshell 3.jsp。

04 安全加固建议

1、在安全设备上，如防火墙、IDS上封禁攻击IP：10.X.X.7。

2、 针对本次失陷主机80.X.X.49，进行网络隔离，排查入侵痕迹和内网横向情况，修复shiro漏洞，清理webshell木马。