探索安全之门 —— 深入解析`shiro_key`项目

于 2024-06-06 09:59:36 发布
阅读量428 收藏 4
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00021/article/details/139491386
版权

探索安全之门 —— 深入解析shiro_key项目

项目介绍

在信息安全的浩瀚宇宙中,密码如星辰般闪烁,保护着我们的数字世界不被侵犯。shiro_key是一个专注于收集与研究Apache Shiro密钥的开源项目。拥有超过一千个示例密钥,它不仅为开发者提供了宝贵的资源库,更是对于理解Shiro加密机制、加强应用安全的一把钥匙。

项目技术分析

Apache Shiro是Java平台上的一个安全框架,旨在简化身份验证、授权以及会话管理等核心安全功能的实现。shiro_key项目基于对Shiro密钥深入探索的精神,搜集了大量实际使用的密钥字符串。这些密钥在Shiro的安全配置中扮演着至关重要的角色,用于加密和解密敏感数据,确保应用通信的安全性。

从技术层面看,这不仅要求开发者理解Base64编码、散列函数以及对称/非对称加密的概念,还需要对Shiro的内部工作原理有深刻认识。通过研究这些密钥的模式和结构,可以深化对加密算法的理解,并可能激发对安全性架构的新见解。

应用场景

  1. 开发者教育与培训:对于正在学习Apache Shiro或希望深入了解其加密机制的学习者来说,这个项目提供了丰富案例,辅助理论到实践的跨越。

  2. 安全审计与测试:安全专家可以通过分析这些密钥,模拟攻击场景,评估应用的安全漏洞,提升系统的防护等级。

  3. 快速原型开发:需要快速搭建安全认证环境的开发者,可以从项目中获取密钥模板,加速开发流程。

项目特点

  • 知识宝藏: 集合多样化的密钥实例,成为了解Shiro加密策略的小型数据库。

  • 教育价值:不仅是工具集合,更是一个学习Shiro加密机制的实践课堂,适合各水平的开发者。

  • 社区驱动:开源的本质鼓励贡献和分享,项目随着社区的参与而持续增长,保持鲜活。

  • 实用导向:直接应用于Shiro配置中,提升应用安全性,减少安全薄弱环节的风险。

通过细致入微地剖析每一个密钥,shiro_key项目为开发者打开了一扇通往安全编程的大门。无论是新手还是经验丰富的专业人士,都能在此找到灵感与工具,构建更加坚固的应用安全防线。加入这个项目,一起探索、学习,并守护我们的数字资产,让安全之路越走越宽广。

在探索与实践中成长,在安全的道路上不断前行,shiro_key等待着每一位对安全有追求的开发者共同解锁更多可能。让我们一起,用代码编织安全的网,保护每一份数据,每一行信息。🌟

邢郁勇Alda
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
shiro泄露key无依赖链利用技巧
渗透测试研究中心
12-26 1416
获取环境:拉取镜像到本地$ docker pull medicean/vulapps:s_shiro_1 启动环境$ docker run -d -p 80:8080 medicean/vulapps:s_shiro_11.使用shiro_attack_2.2工具对目标系统进行检查,发现有默认key但是无利用链2.使用shior_tools.jar 直接对目标系统进行检测,检测完毕后会返回可执行...
Shirokey但无回显利用链子-JRMP大法
最新发布
希望我的博客,能帮上你解决学习中工作中所遇到的问题
06-12 1011
shiro在手天下我有,扫出key直接梭哈getshell,横扫内网。但要是像这种情况,直接下班拜拜跑路,没有链子玩毛线…直到出现了这么一个工具可以通过JRMP协议探测是否存在漏洞,很显然上面工具是做不到的,实战中很可能因此丢掉一个shell。
shiro反序列化生成KEY
qq_35476650的博客
06-29 1042
shiro反序列化生成KEY 简介 Shiro反序列化时候的第一步需要猜KEY,此番操作就像遍历弱口令似的。 生成KEY的代码 #shengcheng.java import org.apache.shiro.codec.Base64; import javax.crypto.KeyGenerator; import javax.crypto.SecretKey; import java.security.NoSuchAlgorithmException; public class poc {
heapdump泄露Shiro key从而RCE
渗透测试研究中心
12-05 4427
1. 简介我搭建了一个Spring heapdump泄露shiro key从而RCE的漏洞环境,Github地址:https://github.com/P4r4d1se/heapdump_shiro_vuln漏洞利用条件:Spring Shiro环境存在heapdump文件泄露存在可利用链2. 漏洞原理Shiro相关的漏洞原理和调试分析已经有很多大佬分享过了,这里不再赘述,这里主要针对这个漏洞环...
shiro漏洞原理以及检测key值原理
Thunderclap的博客
02-08 4395
Shiro 1.2.4及之前的版本中,AES加密的密钥默认硬编码在代码里(SHIRO-550),Shiro 1.2.4以上版本官方移除了代码中的默认密钥,要求开发者自己设置,如果开发者没有设置,则默认动态生成,降低了固定密钥泄漏的风险。升级shiro版本并不能根本解决反序列化漏洞,代码复用会直接导致项目密钥泄漏,从而造成反序列化漏洞。针对公开的密钥集合,我们可以在github上搜索到并加以利用。
springboot读取shirokey命令执行
网络安全。
03-31 2035
0x1 简介 当springboot遇到shiro,一切变得合理了起来。 0x2 利用 存在springboot env页面 https://xxx/api/actuator/env 但未发现明文shirokey,如图这种的。 使用visualvm工具读取shiro字节类型key。 下载:https://visualvm.github.io/download.html(工具在/bin目录下) 导入heapdump,在过滤文件中搜索如下条件。 org.apache.shiro.web.mgt.Cooki
shiro_key1200+.txt
03-10
shiro_key1200+.txtshiro_key1200+.txt
shiro_tool.zip
10-11
一款好用的shiro检测利用工具,使用方式java -jar shiro_tool.jar https://xx.xx.xx.xx,Github有开源下载链接,在这里上传是为了赚积分下载别的工具,欢迎使用
shiro_attack-2.2.jar
12-17
shiro_attack-2.2.jar
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞。 反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
shiro反序列化脚本.zip
07-28
需要用到的俩个文件 ysoserial-master.jar 和 poc.py
shiro_attack_2.2.zip
07-18
在"shiro_attack_2.2.zip"这个压缩包中,我们可以推测它可能包含了关于Apache Shiro安全攻击分析或者防御策略,特别是针对其2.2版本的。下面我们将深入探讨Apache Shiro的基本概念、常见攻击以及如何防范这些攻击...
Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)
12-21 3456
目录 1 漏洞描述 2 漏洞特征 3 修复建议 4 解决办法 4.1 升级shiro到最新版本 4.2 自定义生成AESkey(Apache Shiro使用官方自带的生成AES密钥) 5 参考网址 1 漏洞描述 Apache Shiro 是ASF旗下的一款开源软件,它提供了一个强大而灵活的安全框架,提供身份验证、授权、密码学和会话管理。在Apache Shiro部分旧版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中,攻击者可以使用Shiro的默认密钥...
Shiro反序列化漏洞利用笔记
文公子的博客
12-10 7166
Shiro反序列化漏洞利用笔记 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。目前在Java web应用安全框架中,最热门的产品有Spring Security和Shiro,二者在核心功能上几乎差不多,但Shiro更加轻量级,使用简单、上手更快、学习成本低,所以Shiro的使用量一直高于Spring Security。产品用户量之高,一旦爆发漏洞波及范围相当广泛,研究相关漏洞是很有必要的。 一、Shiro反序列化漏洞 1.1 安全框架 Apache Sh
Shiro key的另类检测方式
Vicl1fe的博客
11-04 1229
前言 很久以前对于Shiro这个洞,都是基于URLDNS来爆破key的,但实际利用场景中,大部分是不出网的,后来出了一个新的检测key的方式,但一直只知道是通过SimplePrincipalCollection这个类来判断的 正确的key就不会回显rememberMe=deleteMe, 错误的key就会回显rememberMe=deleteMe, 但原理未知,今天就来分析一下。 返回rememberMe=deleteMe的几种情况 key不正确 跟踪一下Shiro解密的逻辑,在AbstractReme
Shiro使用官方方法生成密钥
m0_67391521的博客
03-28 1709
原文链接:这里,这里! 0.前言 平台漏洞扫描,扫描到一堆安全问题,其中有个关于Shiro的。主要是说如果项目shiro key为默认密钥或者网络公开密钥,就可以轻易的导致远程代码执行。 本文框架SSM+shiro。 1.解决思路 (1)升级Shiro版本,为1.7.0以上 (2)自定义一个base 64 AES密钥 (3)使用官方生成的方法提供密钥 本文选择的是第三种办法: 我们在shrio新建一个类。参照下面的代码进行添加: import javax.crypto.KeyGenerator; impo
200个shiro_key
weixin_46137328的博客
03-18 4067
0AvVhmFLUs0KTA3Kprsdag== 1AvVhdsgUs0FSA3SDFAdag== 1QWLxg+NYmxraMoxAXu/Iw== 1tC/xrDYs8ey+sa3emt...
Java项目中修复Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)详细说明
一火的专栏
11-18 9831
目录 1.漏洞说明 1.1阿里云漏洞短信内容 1.2阿里云漏洞详细报告 2.详细修复步骤 2.1下载漏洞验证工具 3.Java项目修改 3.1修改前注意事项 3.2Jar包准备 3.3增加一个自定义秘钥代码 3.4修改shiro配置 3.5修复后漏洞检测结果 4.常见问题 4.1Unsupported major.minor version 52.0 4.2org.springframework.web.servlet.mvc.annotation.AnnotationM..
shiro_tool
08-09
shiro_tool是一个基于Java的安全框架,用于实现身份认证和授权功能。它提供了一套简单易用的API,可以帮助开发人员快速集成安全功能到他们的应用程序中。 shiro_tool的主要特点包括: 1. 身份认证:shiro_tool可以进行用户名和密码的验证,确保只有合法用户才能访问应用程序。它还支持多种身份认证方式,如基于表单、基于HTTP基本身份验证等。 2. 授权管理:shiro_tool提供了细粒度的授权控制,可以控制用户对应用程序资源的访问权限。通过定义角色和权限的组合,可以实现灵活的权限管理策略。 3. 会话管理:shiro_tool可以跟踪用户的会话,并提供了会话管理的功能,如超时控制、session共享等。它还支持集群环境下的会话管理。 4. 密码加密:shiro_tool可以对用户密码进行加密,确保密码的安全性。它支持多种加密算法,如MD5、SHA等。 5. 集成简单:shiro_tool可以与主流的Java框架(如Spring、Struts等)无缝集成,方便开发人员在项目中使用。 总之,shiro_tool是一个功能强大的安全框架,可以帮助开发人员快速实现应用程序的身份认证和授权功能,提升应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

邢郁勇Alda

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值