Apache shiro简介

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

本文针对Shiro进行了一个原理性的讲解，从源码层面来分析了Shiro的认证和授权的整个流程，并在认证与授权的这个流程讲解冲，穿插说明rememberme的作用，以及为何该字段会导致反序列化漏洞。

反序列化漏洞的根源

shiro在用户登陆的时候，除了用户名和密码以外 还有一个可传递的选项，也就是shiro发序列化漏洞产生的根源，Rememberme。

Rememberme的核心作用时什么呢？就是用户在登录时勾选rememberme选项，Cookie中就会增加一个rememberme字段，该字段中会存储一些序列化数据，开发者可以指定rememberme字段的有效时间，同时开发者可以指定一些资源，这些资源允许携带rememberme字段的用户访问，由于rememberme是存储在浏览器中的，并在用户的每一次请求中被携带，所以只要不清除Cookie，用户就可以在rememberme的有效时间内，无需再次登陆，就可以访问指定资源。在不勾选rememberme的情况下，通常就是浏览器关闭，会话就会立刻结束，活着等待一段时间后结束，届时用户想要访问一些资源则需要重新登陆，勾选rememberme后，即使推出浏览器结束与服务端的会话，rememberme仍然存储在浏览器中，重新打开浏览器访问指定资源，浏览器在请求时仍会携带上rememberme，如此一来就不需要重新登陆了。

那么接下来就来分析rememberme是如何生成，以及如何实现无需登录即可访问指定资源的。

如果登陆的时候不勾选rememberme选项的情况下，Shiro是不会生成rememberme的，勾选了rememberme选项后，才会在认证的过程中生成该值。

生成rememberme的位置在DefaultSecurityManager的login方法中，如下图所示。

位置就是在Shiro完成用户认证，生成一个新的Subject之后。跟进onSuccessfulLogin()方法，经过嵌套调用，来到AbstractRememberMeManager的onSuccessfulLogin方法

在该方法中，会先判断此次请求中remebmberme字段是否存在，如果存在则调用rememberIdentity()方法，想要知道rememberme中存储了什么东西那么就要继续深入。

这里是获取到了一个PrincipalCollection对象，继续深入。

接下来就是将这个PrincipalCollection转化成byte数组。这个方法很关键，我们需要跟入看一下

Shiro为什么会有反序列化漏洞，以及rememberme所传递的数据就究竟是什么，其实就是一个序列化后的PrincipalCollection对象，而这个encrypt就是通过AES来加密序列化后的数据，密钥呢？当然就是硬编码在AbstractRememberMeManager类中的这段base64编码后的字符串了，如下图所示

最后的最后，Shiro会将这段加密后的数据base64编码一遍，然后放入Cookie中，至此Shiro生成rememberme的过程就结束了

那么知道了rememberme是怎么加密生成的，那么自然也就可以很轻易的解密了，尤其还是在密钥硬编码在代码中的这种情况，下面是解密的demo

那么反序列化漏洞产生的点在哪里呢？当用户在登录时勾选了rememberme的时候，Shiro会返回一个rememberme通过Cookie字段传递，然后存储在浏览器中，正常情况下当用户关闭浏览器或者手动删除浏览器中存储的SesseionID的时候，与服务端的当前会话就结束了，当下次打开浏览器再此访问服务端的时候，就需要重新登录。而勾选了rememberme的用户登录后，关闭浏览器后，会话同样会关闭，但是下次打开浏览器请求访问服务端的时候，Cookie中会携带Rememberme来进行请求，从而达到无需登录的效果。

漏洞的产生关键就在于再重新建立会话的这个过程，所以想要触发rememberme的话请求包中就不能有SessionID,删除SessionID后再携带rememberme进行一次请求就可以触发rememberme的反序列化点，如下图所示

最终通过base64解码，然后AES解密，解密后的结果再经过反序列化，就还原成了一个PrincipalCollection对象，至此Shiro rememberme的生成以及作用，还有如何触发rememberme反序列化

小结

Apache Shiro是一款相当优秀的认证授权框架，虽然在护网等大型攻防项目中，经常被作为突破口，但是仍然瑕不掩瑜，shiro的反序列化在流量识别中是比较容易判断的，因为序列化数据的传递必须要通过Cookie中的rememberme字段，但是纵使识别出来，但是如果不知道密钥的话，也无法得知传递的内容。