1. 项目概述Shiro-550漏洞的动调分析核心Shiro-550这个编号在安全圈里几乎无人不晓。它不是一个简单的漏洞而是一个由Apache Shiro框架默认密钥硬编码问题引发的、影响深远的反序列化漏洞。很多刚入门的朋友可能会被“反序列化”、“AES加密”、“密钥”这些术语吓到觉得门槛很高。其实剥开技术的外壳它的核心逻辑非常清晰攻击者利用Shiro框架在Cookie中用于“记住我”功能的加密机制因为加密密钥是公开的所以可以构造恶意的序列化数据加密后塞进Cookie服务器解密后触发反序列化最终达到远程命令执行的目的。我处理过不少因为Shiro-550被打穿的内网案例根源往往不是技术有多高深而是运维人员对这个“默认配置”的危险性认识不足。今天我们不谈那些泛泛的攻击利用而是聚焦在一个更底层、更硬核的环节动态调试分析与密钥正确性判断。为什么是这两个点因为在实际的渗透测试或应急响应中你拿到的目标可能使用了修改过的密钥或者框架版本存在细微差异直接上公开的EXP漏洞利用程序很可能失败。这时候动调分析能力就是你的“手术刀”能帮你精准定位问题而密钥正确性判断则是你的“听诊器”能快速验证你的猜想是否对路。简单来说这篇文章要解决的就是当你面对一个疑似存在Shiro-550漏洞的目标时如何通过动态调试从流量、内存和代码执行层面确认漏洞是否存在并精准判断出目标系统实际使用的加密密钥是什么。这个过程远比直接运行一个自动化工具更有价值也是安全研究员从“脚本小子”走向“资深玩家”的必经之路。2. 核心原理与攻击链拆解要理解动调分析该从何入手我们必须先把Shiro-550的完整攻击链条吃透。这个链条可以概括为构造恶意序列化载荷 - 使用猜测的密钥进行AES加密 - 将密文放入Cookie的rememberMe字段发送 - 服务器使用自身密钥解密 - 触发反序列化执行命令。2.1 漏洞的根源硬编码的AES密钥这是所有问题的起点。在Apache Shiro 1.2.4版本中用于加密和解密“记住我”Cookie的AES密钥是硬编码在源代码里的。代码位置通常在org.apache.shiro.mgt.AbstractRememberMeManager类中一个名为DEFAULT_CIPHER_KEY_BYTES的静态常量。这个密钥是公开的等于kPHbIxk5D2deZiIxcaaaABase64编码。这意味着任何人只要知道这个密钥就能伪造合法的加密Cookie。注意这里说的“公开”是字面意思密钥明文写在开源代码里。很多企业早期引入Shiro时直接使用了默认配置没有修改这个密钥这就为漏洞敞开了大门。2.2 加密与解密流程Shiro使用AES-128-CBC模式对序列化后的Java对象进行加密。流程如下序列化将Java对象比如我们构造的恶意命令执行链通过ObjectOutputStream转换成字节流。加密使用硬编码的AES密钥和随机生成的IV初始化向量对序列化后的字节流进行加密。编码将加密后的密文进行Base64编码。传输将Base64字符串设置为HTTP请求头中Cookie: rememberMeXXX的值。服务器端收到请求后反向操作Base64解码 - AES解密 - 反序列化。关键在于解密操作发生在身份验证之前。这意味着即使你是一个未登录的匿名用户只要你发送的Cookie能被成功解密并反序列化你的恶意代码就会在服务器上执行。2.3 为什么需要动态调试和密钥判断公开的EXP工具如ShiroAttack2、shiro_exploit等内置了那个默认密钥。它们的工作方式是“猜测-验证”用默认密钥加密一个特殊的探测载荷通常是一个会触发特定延迟或报错的序列化对象。发送给目标。根据目标的响应如响应时间变长、返回特定的错误信息来判断密钥是否正确。但这存在明显局限密钥被修改安全意识稍强的开发会在配置文件中通过shiro.rememberMe.cipherKey属性修改默认密钥。此时所有基于默认密钥的工具都会失效。环境干扰网络延迟、服务器负载可能导致基于响应时间的判断不准确。需要精准定位在分析漏洞利用是否成功、或编写定制化利用工具时你需要确切地知道代码执行到了哪一步解密出的数据是什么。因此动调分析让我们能像“显微镜”一样观察程序内部状态而密钥判断则是我们进行有效攻击的“钥匙”。下面我们就进入实战环节。3. 动态调试环境搭建与关键断点设置动调分析需要一个可控的环境。我强烈建议你在本地或隔离的虚拟机中搭建一个存在Shiro-550漏洞的Web应用进行练习。这里以Spring Boot Shiro 1.2.4组成的简单应用为例。3.1 环境准备靶场应用你可以从GitHub上找到许多现成的Shiro漏洞靶场或者自己创建一个。核心是引入有漏洞的Shiro依赖如version1.2.4/version。调试器Java应用动调的首选是IDEA或Eclipse。这里以IDEA为例。反编译工具虽然IDEA自带反编译但有时需要更清晰的源码。确保你的IDEA已经正确关联了Shiro的源代码可以从Maven仓库下载source jar。3.2 关键断点设置断点设置是动调的灵魂。你需要知道在浩如烟海的代码中在哪里停下才能看到你想看的东西。对于Shiro-550的密钥验证和漏洞利用分析以下几个断点至关重要入口断点AbstractRememberMeManager#getRememberedPrincipals这是处理rememberMeCookie的入口方法。在这个方法里会调用convertBytesToPrincipals方法。在此处设断可以捕获到所有尝试进行“记住我”身份验证的请求。核心解密断点AbstractRememberMeManager#decrypt这是执行AES解密操作的核心方法。方法的参数就是我们从Cookie中提取并Base64解码后的密文字节数组。在这里设断你可以直接看到传入的密文以及解密后得到的原始序列化字节流。这是判断密钥是否正确的黄金位置。反序列化断点DefaultSerializer#deserializeShiro使用DefaultSerializer它内部调用ObjectInputStream来反序列化解密后的数据。在这里设断你可以看到即将被反序列化的字节流。如果密钥正确且载荷有效你将能看到反序列化过程如果密钥错误解密出的会是乱码反序列化时会直接抛出异常。AES解密具体实现断点JcaCipherService#crypt如果你想深入跟踪AES解密的具体细节可以在这个方法设断。它会调用Java Cryptography Architecture (JCA) 的Cipher类进行解密操作。操作步骤在IDEA中使用快捷键CtrlShiftF(Windows) /CmdShiftF(Mac) 全局搜索上述类名和方法名。在对应的方法签名行左侧点击鼠标设置断点红色圆点。以调试模式启动你的Spring Boot应用。使用Burp Suite或Postman向你的靶场发送一个包含rememberMeCookie的请求可以先使用默认密钥加密一个简单载荷。当请求命中时IDEA的调试窗口会自动弹出程序执行会暂停在断点处。此时你可以查看所有的变量值、调用栈以及单步执行F8步入F7代码。4. 密钥正确性的动态判断方法论现在我们来到了最核心的部分如何通过动态调试判断我们使用的密钥是否正确。这里我分享一套经过实战检验的方法论。4.1 基于解密结果的直接判断这是最直观、最可靠的方法。前提是你已经成功在AbstractRememberMeManager#decrypt方法处中断。当程序暂停在decrypt方法时在IDEA的变量查看窗口Variables中找到该方法的参数通常是一个byte[]数组这就是密文。单步执行F7进入decrypt方法内部它会调用CipherService.decrypt。继续执行直到decrypt方法返回。查看其返回值也是一个byte[]数组。关键分析密钥正确返回的字节数组即解密结果的开头部分会是Java序列化流的魔数0xac 0xed 0x00 0x05十六进制。你可以在IDEA的调试器中以十六进制形式查看这个数组或者将其内容打印出来。如果看到aced0005那么恭喜密钥完全正确解密成功得到了一个合法的Java序列化对象。密钥错误返回的字节数组将是毫无规律的乱码开头也不可能是序列化魔数。程序在后续尝试反序列化这个乱码时必然会抛出java.io.StreamCorruptedException: invalid stream header: xxxxxx之类的异常。在调用栈中你会看到这个异常是从DefaultSerializer#deserialize中抛出的。实操心得在调试器中你可以右键点击返回的byte[]变量选择“Evaluate Expression...”然后输入new String(bytes)尝试将其转换成字符串。如果密钥正确且你的载荷是一个简单的字符串对象你可能会直接看到字符串内容。但更通用的方法是检查魔数。4.2 基于异常信息的间接判断如果你无法在解密方法处断下或者想进行更黑盒的快速判断可以观察异常。在DefaultSerializer#deserialize方法开始处设断点。发送一个用猜测密钥加密的探测载荷例如一个序列化的URLDNS对象用于触发DNS查询这是无害的探测方式。当程序断下时查看传入deserialize方法的byte[]参数。如果数据开头是aced0005说明前面的解密步骤成功了密钥正确。如果数据是乱码单步执行下去必然会捕获到StreamCorruptedException。异常的详细信息中会包含无效的流头invalid stream header后面跟着乱码的头几个字节。虽然不能直接证明密钥正确但可以反推如果使用一个随机密钥解密出aced0005的概率极低。因此只要触发了反序列化流程无论成功与否而非法数据异常是在反序列化时抛出的而不是在更早的解密时抛出的就极大可能意味着解密过程本身是成功的即密钥正确只是解密后的数据不是有效的序列化对象。这是一个非常重要的间接证据。4.3 构造特征载荷进行辅助判断除了观察内存我们还可以通过精心构造的载荷让服务器产生可观测的侧信道反馈结合动调进行验证。DNS外带探测构造一个序列化的URLDNS对象利用链该对象在反序列化时会向指定的DNS服务器发起查询。使用猜测的密钥加密后发送。动调结合在动调中你可以在java.net.URL类的hashCode或URLStreamHandler的相关方法设断点。如果密钥正确反序列化会触发DNS解析逻辑你的断点会被命中。同时监控你的DNS日志如果收到查询请求则100%确认密钥正确且反序列化触发。延时探测构造一个在执行readObject时会进行长时间循环或Thread.sleep的Payload。动调结合发送请求后在调试器中观察程序是否在执行线程中“卡住”在你设定的睡眠或循环代码处。如果卡住说明密钥正确且Payload得到执行。这两种方法动调提供了程序执行层面的铁证而外带或延时提供了网络/响应层面的证据两者结合判断无比坚实。5. 实战从零开始分析一个未知密钥的Shiro应用假设我们面对一个全新的目标我们不知道它是否使用了Shiro更不知道密钥是否被修改。我们来模拟一次完整的动调分析过程。5.1 信息收集与漏洞初步探测识别Shiro首先通过发送一个非法rememberMeCookie如rememberMedeleteMe观察响应头。Shiro框架通常会在登录或注销时在Set-Cookie头部返回rememberMedeleteMe来清除Cookie。这是一个很强的Shiro特征。使用默认密钥探测使用工具如Burp的Shiro插件或脚本用默认密钥kPHbIxk5D2deZiIxcaaaA加密一个简单的探测载荷如DNS探测进行发包。结果分析如果收到DNS回显恭喜目标存在Shiro-550且是默认密钥。如果没有回显进入下一步深度分析。5.2 搭建本地调试代理与流量拦截为了动调真实流量我们需要将目标应用的流量引导到我们本地启动的调试代理上。这通常不现实。因此更可行的方案是根据目标应用的特征如报错信息、JS文件、依赖库版本在本地搭建一个尽可能相似的环境相同的Shiro版本、可能相似的Spring版本。在本地环境中将shiro.rememberMe.cipherKey属性设置为一个未知的、需要破解的密钥模拟真实情况。对我们本地搭建的应用进行动调分析。5.3 动调分析流程实录假设我们本地应用使用的密钥是2AvVhdsgUs0FSA3SDFAdag一个修改过的密钥。启动调试以调试模式启动本地靶场应用。发送探测请求使用一个已知的密钥比如默认密钥加密一个URLDNS载荷发送给本地应用。观察断点程序会在AbstractRememberMeManager#getRememberedPrincipals处断下。步入后最终会进入decrypt方法。此时查看解密后的byte[]结果。你会发现它是一串乱码开头不是aced0005。继续执行程序会在DefaultSerializer#deserialize中抛出StreamCorruptedException。这说明解密过程完成了但解出的数据不对。关键推论解密过程没有抛出javax.crypto.BadPaddingException填充错误等加密相关的异常而是走到了反序列化步骤才出错。这强烈暗示服务器使用的解密密钥与我们加密用的密钥能够进行“配对解密”但解出的明文不是我们预期的序列化数据。在AES-CBC模式下用错误的密钥解密有一定概率不会触发填充错误特别是当密文长度等符合规范时但会解出乱码。走到反序列化出错这一步已经比在解密函数里就报错要“深入”了一层。更换密钥现在我们改用密钥2AvVhdsgUs0FSA3SDFAdag即目标实际密钥来加密同样的URLDNS载荷再次发送请求。对比观察同样在decrypt方法处断下查看解密结果。这次你应该能看到返回的字节数组以aced0005开头。继续放行程序你可能会在URL类的hashCode方法或相关的网络处理代码处断下如果你设置了相应断点并且你的DNS服务器会收到查询请求。结论通过对比两次调试中decrypt方法返回的结果我们可以明确无误地判断出第二个密钥是正确的。5.4 编写自动化密钥验证脚本的思路动调虽然精准但效率低。在实际渗透中我们通常先用工具进行密钥爆破再用动调对少数可疑密钥进行验证。理解原理后我们可以写出更聪明的验证脚本import base64 import requests from Crypto.Cipher import AES from Crypto.Util.Padding import pad import javaobj def shiro_guess_key(target_url, candidate_key): 基于响应时间或简单异常特征的密钥猜测示例需优化 # 1. 构造一个会引起轻微延迟的序列化对象模拟 # 这里简化处理实际应用需要构造真实的Java序列化载荷 payload construct_serialization_payload_with_delay() # 2. 使用候选密钥进行AES加密 cipher AES.new(base64.b64decode(candidate_key), AES.MODE_CBC, iv) encrypted cipher.encrypt(pad(payload, AES.block_size)) rememberMe_cookie base64.b64encode(encrypted).decode() # 3. 发送请求 headers {Cookie: frememberMe{rememberMe_cookie}} try: resp requests.get(target_url, headersheaders, timeout8) # 分析响应状态、时间、内容 # 如果密钥正确反序列化可能成功或引发特定异常响应可能不同 # 例如错误的密钥可能导致500错误而正确的密钥可能因为Payload问题导致不同的500或延迟 except requests.exceptions.ReadTimeout: # 如果Payload包含sleep正确密钥可能导致超时 return True, Timeout occurred, key might be correct. except Exception as e: # 分析其他异常 pass return False, # 实际中更可靠的方式是结合DNS外带或报错差异进行判断。这个脚本只是一个骨架。真正的自动化工具如ShiroAttack2内置了更完善的Payload和更精准的判断逻辑。但通过动调你理解了这些判断逻辑背后的原理就能更好地使用甚至改进这些工具。6. 常见问题与高级排查技巧在实际动调和分析中你会遇到各种各样的问题。这里记录一些我踩过的坑和解决技巧。6.1 断点无法命中问题明明发送了rememberMeCookie但断点毫无反应。排查检查应用是否真的启用了RememberMe功能Shiro的RememberMe功能可能需要配置开启。检查shiro.ini或Spring的Shiro配置类确认rememberMeManager被正确配置并启用。检查Cookie路径和名称确保发送的Cookie名称 exactly 是rememberMe。有些应用可能会自定义这个名称。检查过滤器链Shiro的过滤器可能只拦截特定路径的请求。确保你的请求URL经过了Shiro的过滤器通常是anon或authc之外的路径。检查调试器连接确认应用是以调试模式启动的并且IDEA已经成功连接上了调试端口。6.2 解密结果看似正确但反序列化失败问题在decrypt方法中看到返回的字节流以aced0005开头但随后反序列化时仍然抛出ClassNotFoundException或InvalidClassException。原因与解决类路径问题你的Payload中使用的Gadget链如CommonsCollections2、CommonsBeanutils1所依赖的类在目标服务器的Classpath中不存在。动调时你的本地环境有这些类但目标环境没有。解决方案在动调本地环境时要确保类路径与目标尽可能一致或者使用更通用、依赖更少的Gadget如URLDNS用于探测Tomcat或Spring相关链用于实际利用。Java版本不兼容高版本Java8u121引入了反序列化过滤器等安全限制可能导致某些Gadget失效。动调时需要关注目标环境的Java版本。Shiro版本差异不同版本的Shiro在反序列化器或类加载器上可能有细微差别。确保动调环境与目标Shiro版本一致。6.3 密钥爆破过程中的干扰与误判问题自动化工具爆破密钥时出现了多个“可能正确”的密钥候选。技巧多Payload验证不要依赖单一探测Payload。对候选密钥分别用URLDNSDNS出网、Sleep延时、Echo回显等多种Payload进行验证。只有能稳定执行多种类型Payload的密钥才是真正的密钥。结合动调验证将工具爆破出的前几个候选密钥手动构造Payload在动调环境中进行验证。观察decrypt方法的输出这是最直接的证据。分析响应差异仔细对比不同候选密钥对应的HTTP响应。真正的密钥解密后由于反序列化过程被执行服务器可能会留下更特定的堆栈跟踪信息即使被全局异常处理捕获了而错误密钥可能仅仅导致一个通用的解密或反序列化错误。6.4 高级技巧内存中搜索密钥在极端情况下如果目标应用是部署在你能控制的环境中如授权测试的服务器你甚至可以尝试从内存中dump出密钥。获取Java进程内存快照使用jmap -dump:live,formatb,fileheap.bin pid命令导出堆内存。使用MAT或JVisualVM分析堆转储文件。搜索密钥在分析工具中搜索字符串rememberMe或硬编码密钥的Base64特征如kPHbIxk5D2deZiIxcaaaA的部分字符。因为密钥很可能以String对象的形式存在于内存的某个地方例如在AbstractRememberMeManager实例的cipherKey属性中。动调结合在动调时你可以直接查看AbstractRememberMeManager实例的encryptionCipherKey或decryptionCipherKey字段值这就是当前在用的密钥。这种方法属于“降维打击”在实战中条件苛刻但作为研究手段能让你对Shiro的内部机制有更深刻的理解。动态调试Shiro-550漏洞尤其是针对密钥正确性的判断是一个从“黑盒”走向“白盒”的过程。它要求你不满足于工具给出的“是”或“否”而是要去追问“为什么是”和“为什么否”。通过跟踪代码执行流观察内存数据变化你不仅能精准验证漏洞更能透彻理解整个攻击链的每一个环节。在面对修改密钥、部署了部分防护措施的目标时这种能力显得尤为重要。记住工具是手臂而分析思维才是大脑。