项目是借用一个开源项目，然后被发现有shiro反序列化漏洞，如下图：  有了以上漏洞，就可以在服务器执行任意指令。如下图：   解决过程：1、升级shiro到最新版本1.9.1，却发现还是可以挂马；2、查开源代码，发现代码里面有指定密钥（可能是早期版本的shiro需要吧），如下：cookieRememberMeManager.setCipherKey(Base64.decode("fCq+/xW488hMTCD+cmJ3aQ=="));删除后，改成随机密钥。3、用shiro反序列化漏洞工具扫描，已经无法直接挂马，但还是有两点，可以扫描发现shiro框架，可以爆力穷举密钥。如下图：  当然16字

项目是借用一个开源项目，然后被发现有shiro反序列化漏洞，如下图：  有了以上漏洞，就可以在服务器执行任意指令。如下图：   解决过程：1、升级shiro到最新版本1.9.1，却发现还是可以挂马；2、查开源代码，发现代码里面有指定密钥（可能是早期版本的shiro需要吧），如下：cookieRememberMeManager.setCipherKey(Base64.decode("fCq+/xW488hMTCD+cmJ3aQ=="));删除后，改成随机密钥。3、用shiro反序列化漏洞工具扫描，已经无法直接挂马，但还是有两点，可以扫描发现shiro框架，可以爆力穷举密钥。如下图：  当然16字