shiro 漏洞相关的原理以及利用工具已经有很多师傅分享了。如今主流的检测 Shiro Key 的方式是由 l1nk3r师傅分享的，使用一个空的 SimplePrincipalCollection序列化后和要检测的 Key 进行加密作为 payload 发送，判断响应头中的 deleteMe 个数。

在总结和学习了很多师傅的检测逻辑后，目前 Yakit shiro 插件的检测逻辑如下:

1. 首先发送一个 Cookie: rememberMe= 随机值，记录响应头 deleteMe 的个数
2. 判断 Set-Cookie 中的值是 rememberMe 还是 remeberMe，作为后续的关键字
3. 结合上一步获取的关键字，开始发送使用 Key 加密后的反序列化 SimplePrincipalCollection 数据，判断 deleteMe 的个数是否小于第一步中统计的个数，如果小于(一般是减少1)则代表本次使用的 Key 正确
4. 通过获取的正确的 Key ，使用四条最为常见的利用链配合 Header 回显，进行盲打
5. 如果回显盲打不成功，使用 dnslog 进行利用链的探测

使用的四条回显链分别为，CB183NOCC、CB192NOCC、CCK1、CCK2

完整的代码可以直接在 Yakit 插件商店查看

1. 启动靶场时，随机使用 Shiro Key 列表中的一个当作默认的 Key，随机使用 Gadget 列表(CB183NOCC、CB192NOCC、CCK1、CCK2)中的一个，模拟可利用链

2. 为了简单，在非在 SimplePrincipalCollection 序列化加密后的 payload 请求的响应头中添加 Set-Cookie: rememberMe=deleteMe

3. 获取 Cookie rememberMe 的值，Base64 解码后再使用第一步中的默认 Key 进行 AES/GCM 解密

4. 判断解密后的数据是否是一个正常的 Java 序列化对象，如果是，反序列化Java对象流，判断是否包含值为org.apache.shiro.subject.SimplePrincipalCollection 的 ClassName，如果包含，去掉响应头中的 Set-Cookie: rememberMe=deleteMe 字段

5. 如果上一步 SimplePrincipalCollection 没有检测到，我们会根据启动时随机使用的Gadget进行判断，也就是尝试进行org.apache.commons.beanutils.BeanComparator、org.apache.commons.collections.keyvalue.TiedMapEntry、org.apache.commons.collections4.keyvalue.TiedMapEntry 的判断，以及在 Header 中回显

Yakit 1.2.2-sp1

1. webfuzzer新增标签与编解码辅助工具，支持新增常用标签

2. 修复批量发包列表加载问题

3. 恢复发包后可提取数据的功能

4. 新增靶场功能，安装即可使用（设置—试验性功能）

Yaklang 1.2.2-sp3

1. 新增插件自动评估机制的 gRPC 接口，可以自动检查插件质量

2. 新增 Web Fuzzer Tag 缓存机制

3. 优化 HTTP2 中 :authority 被强制加端口的情况

4. 修复 params 的对 JSON 的展示信息

5. 修复浏览器爬虫库的一些小问题

6. 新增靶场管理的 gRPC 接口

原文始发于微信公众号（Yak Project）：无 Java 依赖的 Shiro 靶场