shiro是一个由apache提供的java框架,主要用于身份验证、授权、会话管理等。
shiro身份认证提供了记住我(Remember Me)的功能,即可以在关闭浏览器的情况下,下次访问无需重新登陆,用户登陆成功后会生成经过加密并编码的cookie。在服务端接收cookie值后,Base64解码->AES解密->反序列化。AES加密的密钥Key被硬编码在代码里,这意味着攻击者只要撞库找到AES加密的密钥,就可以构造一个恶意对象,并对其进行序列化→AES加密→Base64编码,然后黑客将其作为Cookie的remember me字段发送Shiro将其进行解密并反序列化,即可造成反序列化漏洞。
流量特征:AES加密、Base64编码、请求头的remember me字样和响应体的remember me=delete me字样
绕过方式:在remember me后添加空白字符;利用IP地址绕过WAF防护
防御方法:(1)修改加密密钥,不要随意使用公共空钥(2)升级版本,密钥硬编码问题存在于1.2.4版本及以下,升级到最高版本的话,密钥是随机生成的,攻击者是拿不到密钥的(3)禁用remember me功能 (4)限制cookie长度
攻击机:kali IP:192.168.3.198
靶机:Ubuntu IP:192.168.3.120
<