一.简介
Apache Shiro是⼀个强⼤易⽤的Java安全框架,提供了认证、授权、加密和会话管理等功 能。Shiro框架直观、易⽤,同时也能提供健壮的安全性
1.1 漏洞环境
kali vulhub 靶场 /shiro/CVE-2016-4437
1.2 漏洞复现
在这里说一下 作者是用shiro反序列化漏洞工具做的
第一步打开工具 爆破密钥
然后检测一下利用链
然后我们再去命令执行里执行whoami 得到root
然后注入 他会返回一条网址 我们去访问
然后用哥斯拉工具连接
这样就成功进来啦