CVE-2016-4437

漏洞名称

Apache shiro 1.2.4反序列化漏洞(CVE-2016-4437)
利用条件

Apache Shiro AES加密-->base64编码
由于Shiro本身含有一个预设的AES密钥Base64.decode("KPHblxk5D2deZilxcaaaA==")，每个人都能够通过源代码拿到该密钥，因此攻击者可以构造一个恶意的对象，对其进行序列化并用该密钥进行加密，base64编码，最后作为cookie中的Remember me字段发送。Shiro得到该Remember me字段后进行解码解密并且反序列化，进而导致任意命令执行
漏洞利用

1.检测

在返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段
如果直接发送数据包，返回包不存在特征：Set-Cookie: rememberMe=deleteMe;
可以在请求包中的cookie中添加：rememberMe=deleteMe;
然后查看返回包中是否存在特征：Set-Cookie: rememberMe=deleteMe;
2.利用

shiro_attack-4.5.6-SNAPSHOT-all.jar


修复建议

1.确定自己使用的shiro版本要高于1.2.4
2.在代码中全局搜索 "setCipherKey(Base64.decode(" 关键字，或者"setCipherKey"方法，Base64.decode()中的字符串就是shiro的密钥，要确保该密钥的安全性，千万不要使用公开的密钥。
参考文章



免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！