Shiro rememberMe反序列化漏洞（Shiro-550） 靶场攻略

漏洞原理

Apache Shiro框架提供了记住密码的功能（RememberMe），⽤户登录成功后会⽣成经过
加密并编码的cookie。在服务端对rememberMe的cookie值，先base64解码然后AES解密再反
序列化，就导致了反序列化RCE漏洞。
那么，Payload产⽣的过程：
命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值
在整个漏洞利⽤过程中，⽐较重要的是AES加密的密钥，如果没有修改默认的密钥那么就很
容易就知道密钥了,Payload构造起来也是⼗分的简单。

影响版本

Apache Shiro < 1.2.4

环境

vulhub靶场 /shiro/CVE-2016-4437

漏洞复现

1.访问http://172.16.1.52:8080/login

2.验证Shiro框架

使⽤BurpSuite进⾏抓包，在请求包中的cookie字段中添加 rememberMe=123; ，看响应包header中是否返回 rememberMe=deleteMe 值，若有，则证明该系统使⽤了Shiro框架

3.命令执行

4.getshell

5.反弹shell

1.云服务器上写一个反弹shell命令到1.sh

2.下载 sh 脚本

3.nc监听

4.执行脚本:

/bin/bash /tmp/1.sh