vulhub漏洞复现62_Shiro

倾城 好物分享

一、 CVE-2016-4437_ Apache Shiro 1.2.4反序列化漏洞
前言
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。

漏洞详情
Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。

漏洞环境
靶场:192.168.4.10_ubuntu
执行如下命令启动一个使用了Apache Shiro 1.2.4的Web服务:
#docker-compose up -d
服务启动后,访问`http://your-ip:8080`可使用`admin:vulhub`进行登录,判断环境存在shiro,查看返回包中Set-Cookie中是否存在rememberMe=deleteMe.

漏洞复现
使用https://github.com/ins

vulhub漏洞复现62_Shiro最先出现在Python成神之路

版权声明:
作者:倾城
链接:https://www.techfm.club/p/20549.html
来源:TechFM
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
< <上一篇
下一篇>>