介绍Shiro框架反序列化漏洞及利用方法，利用padding oracle攻击和密钥泄露反序列化cookie中的rememberMe字段，利用ysoserial生成URLDNS链和CC链执行命令或反弹shell，介绍其他版本的反序列化漏洞及防御措施。