Shiro反序列化漏洞（CVE-2016-4437）+docker靶场+工具利用

一、Shiro反序列化漏洞-CVE-2016-4437原理

将java对象转换为字节序列（json/xml）的过程叫序列化，将字节序列（json/xml）恢复为java对象的过程称为反序列化。

Shiro框架提供了“记住我”的功能，用户登陆成功后会生成经过加密并编码的cookie，cookie的key为RememberMe，cookie的值是经过序列化的，使用AES加密，再使用base64编码，服务端在接收cookie时：
检索key的值Base64解码，AES解密进行反序列化时未过滤处理，造成漏洞
攻击者使用shiro默认的密钥构造恶意序列化对象进行编码来伪造用户的cookie，服务器反序列化时触发漏洞
有的用户使用开源shiro框架，并没有修改配置文件中的默认密钥，即密钥泄露

二、docker靶场搭建

进入shiro靶场目录，输入命令：docker-compose up -d

访问：locathost:8080，有“记住我”功能

输入admin:vulhub，选中“记住我”，抓包，直接发送源数据包,观察返回的数据包中是否存在关键字：

三、工具利用

下载shiro利用工具：shiro_attack-2.2.jar
本地cmd进入工具目录，前提已安装并配置好java环境

其中date中存在的文件，里面包含上百个shiro开源默认密钥

命令： java -jar .\shiro_attack-2.2.jar

输入相关的信息，爆破出密钥：

检测当前利用链：

命令执行：uname -a

执行成功

四、修复建议

1、使用开源shiro框架时，修改默认密钥
2、代码审计，全局搜索 “setCipherKey(Base64.decode(” 关键字，或者"setCipherKey"方法，Base64.decode()中的字符串就是shiro的密钥，要确保该密钥的安全性
3、WAF拦截Cookie中长度过大的rememberMe值