Shiro反序列化漏洞复现

本文转载自查看原文 2019-09-03 23:19 457

Apache Shiro是一个强大且易用的Java安全框架，执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。它编号为550的 issue 中爆出了严重的 Java 反序列化漏洞。

漏洞影响版本：Apache Shiro 1.2.4

Shiro反序列化特征：在返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段

环境：

第一步：在我们的VPS上搭建一个web服务，该web服务下放一个反弹shell的脚本文件 1.sh，1.sh的内容如下

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 【漏洞复现】Shiro<=1.2.4反序列化漏洞 Shiro RememberMe 1.2.4 反序列化漏洞复现 Apache Shiro反序列化漏洞复现 Shiro反序列化复现 shiro反序列化复现 shiro反序列化漏洞 Shiro remeberMe反序列化漏洞复现（Shiro-550） CVE-2016-4437（Apache Shiro反序列化漏洞复现Shiro550）漏洞复现 - Apache Shiro 1.2.4反序列化漏洞（CVE-2016-4437） Apache Shiro 反序列化漏洞复现（CVE-2016-4437）