**深入解析Shiro_721_Padding_Oracle_RCE:一个安全漏洞的实战研究**

最新推荐文章于 2024-06-21 08:00:00 发布
最新推荐文章于 2024-06-21 08:00:00 发布
阅读量240 收藏 6
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00089/article/details/137451381
版权

深入解析Shiro_721_Padding_Oracle_RCE:一个安全漏洞的实战研究

项目简介

是一个由开发者iceMatcha创建的开源项目,旨在揭示Apache Shiro框架中的一种特定 Padding Oracle 漏洞。该项目通过实例演示了如何利用这种漏洞进行远程代码执行(RCE),从而帮助安全研究人员和开发人员理解和防御此类攻击。

技术分析

Padding Oracle 漏洞通常发生在加密过程中的解密环节,当加密算法如AES对填充不当的数据进行解密时,攻击者可以通过检测错误响应来推断解密结果的一部分。Apache Shiro是一个流行的Java安全管理框架,用于身份验证、授权、会话管理和加密等任务。在某些配置下,它可能没有正确处理异常情况,使攻击者有机会利用此漏洞。

在这个项目中,iceMatcha重现了一个漏洞环境,并提供了详细的步骤,解释了如何构造有效的payload来触发RCE。项目中包含了漏洞复现的源代码,便于用户理解漏洞的工作原理并学习如何防止类似问题。

应用场景

  1. 教育与培训:对于网络安全专业学生或从业者来说,这是一个理想的实践平台,可以加深他们对Padding Oracle攻击和防御的理解。
  2. 安全性审计:开发者可以用这个项目作为参考,检查自己的Shiro应用是否存在相同的问题,以提高软件的安全性。
  3. 漏洞修复:对于维护含有Apache Shiro的应用的企业,这个项目提供了很好的例子,说明了如何识别和修复这类问题。

特点

  • 易用性:提供清晰的代码示例和详细文档,使得任何人都能快速上手。
  • 实用性:模拟真实环境下的漏洞利用,有助于实际安全工作。
  • 教育价值:理论结合实践,是一种优秀的教学工具,帮助学习者掌握安全概念。
  • 社区支持:作为一个开源项目,它可以受益于社区的反馈和改进,持续完善。

结语

通过研究和使用Shiro_721_Padding_Oracle_RCE项目,无论是为了提升你的安全技能,还是为了保障你的应用免受潜在威胁,都能从中获得宝贵的经验。利用此项目,你可以更好地理解Padding Oracle漏洞的机制,以及如何避免成为此类攻击的目标。快去探索这个项目,加强你的安全防线吧!

宋韵庚
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Shiro_721_Padding_Oracle_RCE:Shiro_721 exp 纯手工实现Padding Oracle整个过程
04-24
Shiro-721 Padding Oracle RCE Exp 免责声明:本工具仅供安全测试学习用途,禁止非法使用 纯手工实现Padding Oracle过程, 没有利用python-paddingoracle的api,可用于学习padding oracle细节。 默认采用jrmp gadget, ...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro一个特定安全问题:反序列化漏洞。 反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Apache Shiro Padding Oracle漏洞可导致远程命令执行漏洞解决
♾️
02-19 4060
背景:Apach Shiro官方披露其cookie持久化参数rememberMe加密算法存在漏洞,可被Padding Oracle攻击,攻击者利用Padding Oracle攻击手段可构造恶意的rememberMe值,绕过加密算法验证,执行java反序列化操作,最终可导致远程命令执行获取服务器权限,风险极大。 1,漏洞描述: Apache Shiro < 1.4.2 版本中cookie值re...
shiro 721 反序列化漏洞复现与原理以及Padding Oracle Attack攻击加解密原理
热门推荐
Shanfenglan's blog
11-14 1万+
文章目录利用条件shiro550shiro721环境搭建漏洞复现 利用条件 shiro550 知道key且目标服务器含有可利用的攻击链 影响版本:1.2.4以下 shiro721 知道已经登陆用户的合法cookie,利用padding orcale 加密生成恶意rememberme的值进行利用 影响版本: 1.2.5, 1.2.6, 1.3.0, 1.3.1, 1.3.2, 1.4.0-RC2, 1.4.0, 1.4.1 环境搭建 git clone https://github.com/inspiri
Shiro721 反序列化漏洞(CVE-2019-12422)
qq_68163788的博客
06-21 1677
Apache Shiro一个功能强大且灵活的开源安全框架,可以干净地处理身份验证,授权,企业会话 Management 和加密。 Apache Shiro 的首要目标是易于使用和理解。安全有时可能非常复杂,甚至会很痛苦,但不一定如此。框架应尽可能掩盖复杂性,并公开干净直观的 API,以简化开发人员确保其应用程序安全的工作。
oracle jr7,GitHub - inspiringz/Shiro-721: Shiro-721 RCE Via RememberMe Padding Oracle Attack
weixin_39778668的博客
04-02 150
Shiro-721 RCE Via Padding Oracle Attack0x01 漏洞概述Apache Shiro™(读作“sheeroh”,即日语“城”)是一个开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Shiro使用了AES-128-CBC模式对cookie进行加密,导致恶意用户可以通过Padding Oracle攻击方式构造序...
shiro_rce_tool:shiro rce tool 反序列 命令执行 一键工具 回显
04-29
shiro_rce 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 2021-03-31: 新增自定义或随机useragent randomagent --> random useragent useragent= --> set useragent cookiename= --&...
shiro_attack-2.2.jar
12-17
shiro_attack-2.2.jar
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle 漏洞利用
03-29
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle Shiro721 RememberMe Padding Oracle影响版本: - Apache Shiro 1.2.5,1.2.6,1.3.0,1.3.1,1.3.2,1.4.0-RC2,1.4.0,1.4.1 CVE-2016-4437 ...
开发教程文档.docx
08-14
1. Java简介 Java是一门由Sun Microsystems公司于1995年推出的高级编程语言。它具有跨平台的特性,能够在多种操作系统(如Windows、Mac OS和各种Unix版本)上运行。Java的最大特点是“一次编写,到处运行”,这得益于Java虚拟机(JVM)的存在。 2. 环境搭建 在开始Java编程之前,需要先搭建开发环境。你需要安装Java开发工具包(JDK)和一个集成开发环境(IDE),比如IntelliJ IDEA或Eclipse。JDK是Java开发的核心,包括了编译器和标准类库,而IDE则为你提供了一个方便的开发界面。 3. 基本语法 学习Java的第一步是掌握它的基本语法。你需要了解如何定义变量、使用基本数据类型、控制程序流程(如条件语句和循环语句)以及如何定义和使用函数。这些基础知识是编写任何Java程序的基础。 java public class HelloWorld { public static void main(String[] args) { System.out.println("Hello, World!
全球车载支付服务行业总体规模、主要企业国内外市场占有率及排名(2024版).docx
08-14
全球车载支付服务行业总体规模、主要企业国内外市场占有率及排名(2024版).docx
【独家首发】基于斑点鬣狗优化算法SHO-GMDH的锂电池寿命SOC估计算法研究Matlab实现.rar
08-14
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
鲸发卡v11.61发卡系统源码-开心修复版
08-14
鲸发卡系统在发卡圈几乎人人皆知,市面最好发卡系统之一,操作简单界面操作通俗易懂,系统主页UI已进行更换,非市面烂大街首页! 我们替换了三套最新版模板,详情请看下面图片,市面上所谓的11.61版本就是这,只是改了版本号,新增三套模板。 非常重要的一点是,我们发现此模板使用后,首页首次加在有点慢,原因是首页美化代码的原因,其他页面基本正常,有能力的可以吧图片等资源文件上传到oss等第三方平台 含4套PC端首页模板,含4套手机端首页模板(3套与PC端相同) 修复功能 1、短链接生成,重置 2、客户端新版本UI 3、邀请码无限重复生成(以前的版本后台不?关闭,现在可以了)
ssm_148_mysql_商品信息分类管理系统_.zip
08-14
1、某些模块的代码结构冗余,代码执行效率差,经过思考发现可以使用面向对象思想中的继承和多态进行改进。 2、数据库的设计较为单一,并且书写SQL查询语句时只用了连接查询和相关子查询等,这会造成查询较多数据时查询速度慢的问题。改进的方法就是使用存储过程和视图来替代复杂的查询语句。 3、用户的注册和登录未与QQ或者微信进行连接,这方面的知识自己比较欠缺,但经过了解后发现只要在支付宝和微信的官网下载相关的接口与自己系统进行连接就有可能实现真正的相关账户登录。
基于Android点餐叫号系统设计与实现.docx
08-14
基于Android点餐叫号系统设计与实现.docx
人工智能与机器学习概论+神经网络基础理论+深度学习框架与工具+Transformer模型原理与结构+自注意力机制详解等教程
08-14
人工智能与机器学习概论 神经网络基础理论 深度学习框架与工具 Transformer模型原理与结构 自注意力机制详解 Transformer在自然语言处理中的应用 序列到序列模型与Transformer Transformer的训练与优化技巧 Transformer变体:BERT模型深度解析 Transformer变体:GPT模型深度解析 Transformer变体:T5模型深度解析 Transformer在计算机视觉中的应用 Transformer在语音识别中的应用 Transformer在推荐系统中的应用 Transformer未来趋势与研究方向
【独家首发】基于黑猩猩优化算法Chimp-GMDH的锂电池寿命SOC估计算法研究Matlab实现.rar
最新发布
08-14
【独家首发】基于黑猩猩优化算法Chimp-GMDH的锂电池寿命SOC估计算法研究Matlab实现.rar
基于Android五子棋设计与实现.docx
08-14
基于Android五子棋设计与实现.docx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宋韵庚

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值