一、漏洞描述
Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致反序列化漏洞。
二、漏洞影响
只要rememberMe
的AES加密密钥泄露,无论shiro是什么版本都会导致反序列化漏洞。
三、环境搭建
cd CVE-2016-4437/
docker-compose up -d
四、漏洞复现
访问靶机ip
使用工具进行半自动化注入检测
shell成功写入,使用冰蝎2.0连接