【shiro】Apache Shiro 1.2.4 反序列化漏洞(CVE-2016-4437 )

1 是什么？

Apache Shiro是一款开源安全框架，提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用，同时也能提供健壮的安全性。

简介：加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令。
影响版本：Apache Shiro 1.2.4及以前版本。

Apache Shiro默认使用了CookieRememberMeManager，其处理Cookie的流程：得到rememberMe的Cookie值→Base64解码→AES解密→反序列化。然而AES的密钥是硬编码的，就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。
关键因素：AES的加密密钥在Shiro的1.2.4之前版本中使用的是硬编码：kPH+bIxk5D2deZiIxcaaaA==，只要找到密钥后就可以通过构造恶意的序列化对象进行编码，加密，然后作为Cookie加密发送，服务端接收后会解密并触发反序列化漏洞。在1.2.4之后，ASE秘钥就不为默认了，需要获取到Key才可以进行渗透。

漏洞特征：Shiro反序列化漏洞存在特征，在返回包的Set-Cookie中存在rememberMe=deleteMe 字段。
注意：以下每一步操作后记得清除浏览器缓存，保证浏览器状态为初始空白状态。
在登录页面，存在一个选择框，提供给用户选择是否勾选RememberMe，当我们不勾选时输入默认账号密码，设置代理为BurpSuite并点击登录。
用BurpSuite拦截该请求，发送到repeater模块并点击send，可以看到响应如下，rememberMe的值为deleteMe。
当我们勾选rememberMe时输入默认账号密码，设置代理为BurpSuite并点击登录。
用BurpSuite拦截该请求，发送到repeater模块并点击send，可以看到请求中多了rememberMe字段，同时响应中rememberMe的值也变成一大段。
以上都是使用正确的账号密码登录的情况，再试试使用错误账号密码同时勾选rememberMe的情况，在上述请求中修改账号密码并点击send，响应中rememberMe的值为deleteMe。