Shiro反序列化漏洞检测及修复(工具分享)

Shiro反序列化漏洞检测及修复(工具分享)

    • 写在前面
    • 反序列化漏洞是如何产生的
    • 反序列化漏洞解决思路
    • 测试工具下载地址
    • 测试过程

写在前面

这篇博文主要解决于一些朋友为了修复反序列化漏洞,根据某些帖子的内容升级了shiro版本,或者采用了随机生成key的方式后,不知道是否管用。特地写下一篇记录,分享一个检测工具。
我在之前项目中碰到了这个问题,由于shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本(根据@CityHost提示,需要升级到1.5.x才能彻底解决该问题),但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit
在此特别感谢其作者 feihong飞鸿

反序列化漏洞是如何产生的

shiro版本<=1.2.4时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解密,最后反序列化。但在这个过程中,其AES的Key硬编码,导致反序列化漏洞的产生。(参考http://www.secwk.com/2019/09/18/2818/)

反序列化漏洞解决思路

从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式:

  1. 自行实现key值
  2. 升级到1.2.5版本或以上

那么在我的项目中,选择的是升级版本到1.2.6

测试工具下载地址

https://github.com/feihong-cs/ShiroExploit_GUI/releases

测试过程

1. 首先打开下载到的ShiroExploit,可以看到这样的界面。选择shiro550,在中间的白框,填入项目访问路径,点击下一步
Shiro反序列化漏洞检测及修复(工具分享)_第1张图片

2. 来到当前页面,选择使用回显进行漏洞检测,点击下一步
Shiro反序列化漏洞检测及修复(工具分享)_第2张图片
3. shiro1.2.4版本
可以看到,Trying Key,然后Find Valid key。相信从字面意思也看出来了,找到了这个硬编码的key,此时代表反序列化漏洞存在
Shiro反序列化漏洞检测及修复(工具分享)_第3张图片
4. 接下来我们看一下升级后的shiro1.2.6
很清晰看到与1.2.4的对比,Can not find a valid key,然后一直在Trying,此时漏洞已经不存在了
Shiro反序列化漏洞检测及修复(工具分享)_第4张图片
最后希望本篇文章能够帮助到大家,
再次郑重感谢工具作者飞鸿!!!

你可能感兴趣的:(笔记)