shiro Java反序列化漏洞的一點思考（本文特指shiro rememberMe 硬編碼密鑰反序列 ...

0x01.前言 首先我解釋下封面哈，我是一個安全研究者（菜菜，很菜的菜），另外呢，我喜歡這個封面，略微有點顏色，但是你如果說她低俗，那么請您離開，咱們不適合做朋友，我喜歡有靈魂的思想，安全研究者-我更喜歡有腦洞的人。 這是一次授權的滲透測試，技術含量不高，但我始終相信，每一次的積累 ...

——————環境准備—————— 目標靶機：10.11.10.108　　//docker環境 攻擊機ip：無所謂 vpsip：192.168.14.222　　//和靶機ip可通 1 ...

Shiro反序列化利用 前言：hvv單位這個漏洞挺多的，之前沒專門研究打法，特有此篇文章。 Shiro rememberMe反序列化漏洞（Shiro-550） 漏洞原理 Apache Shiro框架提供了記住密碼的功能（RememberMe），用戶登錄成功后會生成經過加密並編碼 ...

是什么版本都會導致反序列化漏洞。 漏洞工具 一台公網服務器（帶有java環境） dns接收網站 ...

Shiro是一個強大且易用的Java安全框架,主要用於身份驗證、授權、密碼和會話管理。 使用docker下載一個鏡像，搭建一個shiro1.2.4的漏洞環境 運行下載好的鏡像 sudo docker pull -p 8080 ...

shrio反序列化漏洞 一、漏洞介紹 Shiro 是 Java 的一個安全框架。Apache Shiro默認使用了CookieRememberMeManager，其處理cookie的流程是：得到rememberMe的cookie值 > Base64解碼–>AES解密 ...

目錄 信息收集 poc 參考 信息收集 poc /tmp/payload.cookie 替換發包的rememberMe=X 參考 https://github.com/insightglacier/Shiro ...