以“防方视角”观Shiro反序列化漏洞

01 案例概述

这篇文章来自微信公众号“潇湘信安”，记录的某师傅如何发现、利用Shiro反序列化漏洞，又是怎样绕过火绒安全防护实现文件落地、添加管理员，最后进入远程桌面，以及在测试过程中遇到的一些坑。

记一次Shiro反序列化到远程桌面【原文链接】

02 攻击路径

(1)攻击者的突破点是通过信息收集发现某单位站点采用Shiro认证框架，通过漏洞扫描工具Xray成功检测出Key值由此判断存在Shiro反序列化漏洞。

(2)攻击者通过Shiro反序列化漏洞执行系统命令，试图远程下载恶意文件，但由于站点服务器存在火绒杀毒软件，执行远程下载的系统命令被杀毒软件检测到并拦截。

(3)攻击者通过变形后的certutil命令绕过杀毒软件检测执行远程下载命令，在站点服务器上落地恶意文件并成功执行，获取目标服务器权限，并进一步开启远程桌面服务实现远控。

03 防方思路

站在防守单位的角度需吸取本案例的经验教训：

(1)系统开发过程引入第三方组件或采用开源框架时，需谨慎识别是否为存在漏洞问题版本，确保第三方组件安全。

(2)持续关注第三方组件以及开源框架近期披露的安全问题，依据官方建议及时安装修复补丁或升级至安全版本。

(3)定期更新杀毒软件的病毒特征库、安全防护规则，严格限定服务器对公网开放端口及通信协议，限制互联网用户可访问的网络范围。