平台让人打穿了（Shiro反序列化）

点击"仙网攻城狮”关注我们哦~

不当想研发的渗透人不是好运维

让我们每天进步一点点

简介

最近攻防演练，一个业务平台被打穿了，还是个很老的漏洞shiro反序列化，记录一下如何识别这个漏洞。

Shiro 干嘛用的：Shiro 是Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用，其不仅可以用在JavaSE 环境，也可以用在JavaEE 环境。Shiro 可以帮助我们完成：认证、授权、加密、会话管理、与Web 集成、缓存等。

Shiro 功能很多，而Shiro 反序列化漏洞一般会出现在Remember Me功能上：这个是非常常见的功能，即一次登录后，下次再来的话不用登录了。

也就是说在登录、跨域访问的时候会调用这个，那么接下来要找到这个漏洞就简单了。

实战

工具：

Burp Sutie+ShiroScan插件

shiro_attack_2.2综合利用工具

jdk8+jdk11环境：jdk8运行shiro_attack_2.2综合利用工具，jdk11运行最新版本burpsutie

工具包下载

链接：https://pan.baidu.com/s/1yTOfePgj8bU6DJvCDDhfpQ

提取码：6666

被动发现Shiro 反序列化漏洞环境：如果你是个很懒的工具人可以使用ShiroScan插件来被动发现该漏洞。

1.Burp Sutie加载ShiroScan插件

2.测试功能点的时候有相关漏洞会自己发现

3.细心的小伙伴就会发现咋没有发现key，当插件跑不出来key的时候可以使用shiro_attack_2.2综合利用工具进行暴力跑key。

4.跑出key和利用链之后就可以执行命令了

5.剩下的就是反弹shell或者frp代理进行内网横向渗透了，这里就不多演示了。

6.备注：运行shiro_attack_2.2综合利用工具，需要jdk8的环境，与最新burpsutie版本不兼容，建议另外使用虚拟机运行。

往期内容

工具篇-BurpSutie Pro 2021.10.1最新版本

CFT学习资源与工具上新

ATT&CK红队评估（一）拿下域控权限

更多资讯长按二维码 关注我们

   专业的信息安全团队，给你最安全的保障。定期推送黑客知识和网络安全知识文章，让各位了解黑客的世界，学习黑客知识，普及安全知识，提高安全意识。

觉得不错点个“赞”呗