IDEA搭建shiro550复现环境

最新推荐文章于 2024-01-29 21:26:17 发布
最新推荐文章于 2024-01-29 21:26:17 发布
阅读量782 收藏 5
点赞数 1
分类专栏: java 文章标签: intellij-idea java tomcat jvm zookeeper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67401270/article/details/126721347
版权

一.环境准备

tomcat 8.5.76(下载地址:Apache Tomcat? - Welcome!

JDK 1.7 (下载地址:Java Archive Downloads - Java SE 7

shiro (下载地址:GitHub - jas502n/SHIRO-550: Shiro RememberMe 1.2.4 反序列化 漏洞) 下载对应war包即可

shiro源码(下载地址:https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4

生成 payload:ysoserial (下载地址:GitHub - frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization.

IDEA 2021.3

二.环境搭建

1.首先打开IDEA,打开shiro源码

2.配置tomcat环境

首先

首先这三部分

1:选择tomcat所在位置

2:选择安装的JDK1.7的位置

3:选择未被使用的端口

然后到Deployment,选择添加,然后选择shiro的war包所在位置

然后关于Debug模式下的调试,我刚开始配置的时候使用Debug的时候会提示socket close,网上说好像是端口被占用了,所以需要修改成未被占用的端口

3.多种jdk环境切换

如果本机有好几种java环境的话,IDEA会默认选择我们环境变量中的,因为我本机使用的是java14,但是在这我们需要使用jdk1.7,于是更改方法如下:

点击类似设置的图标

选择Project Structure

选择SDKs, 然后点击添加,选择JDK1.7安装位置

于是我们在配置tomcat的时候就能选择JRE为我们增加的JDK1.7了

关于快捷键使用,在调试过程中我么可能需要跟进方法和返回,所以快捷键很重要,IDEA中配置快捷键的方法,点开设置,然后方式如下

可以看到快捷键的配置

三.环境启动

选择debug

稍等一会就会打开了

在IDEA中会记录日志,也可以看到我们输入的变量

是啥东西呢
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
S09-shiro550反序列学习1
08-03
前言环境搭建1. 参考文章:Shiro 反序列化记录Shiro RememberMe 1.2.4 反序列化导致的命令执行漏洞2. 远程调试:tomcat 启动修
IDEA+SpringBoot+Mybatis+shiro:整个shiro的实过程,可应用于线上产品
12-10
IDEA+SpringBoot+shiro:整个shiro的实过程,可应用于线上产品
Apache Shiro-550 反序列化漏洞简单分析(CVE-2016-4437)
panda的博客
04-12 3628
shiro-550 反序列化漏洞简单分析
idea ssm整合shiro shiro的基本用法
醉卧山林的执刀人博客
12-02 5179
http://www.jianshu.com/p/6786ddf54582 参照此篇文章进行设置,此篇文章介绍了一个基本的shiro进行身份验证和权限验证的方法,实测可用,写这篇博客的目的为了习自己配置shiro的基本流程 首先我们要有一个ssm maven项目,搭建ssm项目参照之前的博客 1.加入pom.xml http://mvnrepository.com/ maven仓库的地
Shiro 550 反序列化漏洞 详细分析+poc编写
热门推荐
god_Zeo的安全博客
09-03 1万+
0x00 前言 shiro反序列化漏洞这个从 shiro 550 开始,在2016年就爆出来, 但是到在在各种攻防演练中也起到了显著作用 这个漏洞一直都很好用,特别是一些红蓝对抗HW的下边界突破很好用 遂研究一下这个漏洞的成因和分析一下代码 0x01 Shiro 550 漏洞描述 Apache Shiro RememberMe 反序列化导致的命令执行漏洞 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理 编号:Shiro-550, CVE-2016-4437
Shiro安全(一):Shiro-550反序列化
weixin_43263451的博客
08-01 1704
Shiro550(CVE-2016-4437),其在护网期间担任重要的角色,也有很多的利用工具。本文将详细介绍Shiro550漏洞原理其实可以将AbstractRememberMeManager#getRememberedPrincipals当做主函数,其中getRememberedSerializedIdentity方法负责base64解码,convertBytesToPrincipals负责AES解密并反序列化。......
shiro550环境搭建
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
10-12 432
Shiro反序列化漏洞指的是Apache Shiro安全框架中的一个潜在漏洞,该漏洞可能导致攻击者能够通过精心构造的恶意序列化对象来执行任意代码或进行拒绝服务(DoS)攻击。这种漏洞的根源是在Shiro的RememberMe功能中,当用户选择“记住我”选项时,Shiro会将用户的身份信息进行序列化,并存储在Cookie中。当用户再次访问站点时,Shiro会尝试反序列化该Cookie来还原用户的身份信息。然而,如果攻击者能够注入恶意序列化对象,Shiro在反序列化过程中可能会执行这些恶意代码。
shiro-550 IDEA环境配置
Demodd的博客
03-14 1636
前言 为了跟一下shiro的洞配下环境,这一配不要紧浪费了一上午的时间,不过自己也从中学到了很多,希望以后配环境不要遇到这么多问题。(java环境也太难搞了) 正文 环境准备: tomcat配置完成前两步即可 jdk1.65 漏洞代码 开始配置 tomcat完成前两步以后,运行 访问http://localhost:8080/,显示下图表示安装成功 然配置漏洞代码,下载源码后更改/samples/web/pom.xml <version>1.2</version添加一行这个即可 在IDEA
Maven+Spring+SpringMVC+Mybatis+Shiro框架搭建工程
02-04
仅仅是一个Spring+SpringMVC+Mybatis+Shiro框架搭建工程,应该下载下来即用,对于初学者不会搭建的应该有用,相关配置查看配置文件即可,有详细说明。
ShiroExploit-Deprecated:Shiro550Shiro721一键化利用工具,支持多种回显方式
03-21
ShiroExploit支持对Shiro550(硬编码秘钥)和Shiro721(Padding Oracle)的一键化检测,支持多种回显方式使用说明初步:按要求输入要检测的目标URL和选择突破类型Shiro550提供rememberMe Cookie, Shiro721需要提供...
IDEA+SSM+Shiro(demo,包含数据库)
10-27
刚开始用IDEA,配置还是好麻烦的,记录一下IDEA搭建的SSM框架+Shiro的demo,附带数据库,配置好直接运行
IDEA+SSM+Shiro(demo)
10-27
刚开始用IDEA,配置还是好麻烦的,记录一下IDEA搭建的SSM框架+Shiro的demo,配置好直接运行
[Java反序列化]—Shiro反序列化(一)
snowlyzz的博客
12-05 7546
shiro -550 反序列化(一)
【Java反序列化】Shiro-550漏洞分析笔记
最新发布
qq_48201589的博客
01-29 1353
ShiroAES加密-->Base64加密的过程,接收后会进行Base64解密-->AES解密-->反序列化进行验证身份信息。漏洞点在于AES加密为对称加密,而加密时利用的key为固定值,这就导致,我们可以生成一条恶意的payload,进而达到RCE的目的。
经典的Shiro反序列化漏洞分析
hackzkaq的博客
03-02 4414
更多黑客技能 公众号:小道黑客 作者:掌控安全-holic 0x01、前言 相信大家总是面试会问到java反序列化,或者会问到标志性的漏洞,比如shiro反序列化,或者weblogic反序列化漏洞。 那我就这篇文章为大家讲解一下,不懂的哥哥直接背一下,理解一下就好了。 至于为什么要选择shiro反序列化呢,不讲weblogic呢? 因为我上次有幸参与金鸡电影节的临时安全负责人,具体我就不细说了。当时是内部涉及到shiro反序列化漏洞。 准确的来说是Shiro<1.2.4-RememberMe反序
shiro组件漏洞分析(一)
why811的博客
09-13 155
官方issues:https://issues.apache.org/jira/browse/SHIRO-550Apache Shiro框架提供了记住我(RememberMe)的功能,功能表为关闭浏览器再次访问时无需再登录即可访问。shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操作。
shiro550
09-06
您好!对于shiro550漏洞,您可以按照以下步骤进行操作: 1. 确定您的环境:首先,您需要一个Java开发环境(如JDK)以及一个Web服务器(如Tomcat)来运行应用程序。 2. 下载Shiro:从Apache Shiro官方网站(https://shiro.apache.org/)下载最新的Shiro版本,并解压到您的项目目录中。 3. 配置Shiro:在您的项目中,创建一个shiro.ini文件来配置Shiro的安全设置。您可以根据需要配置认证策略、授权策略等。 4. 编写漏洞代码:在您的应用程序中创建一个可供攻击者利用的漏洞代码。此漏洞可能涉及未正确处理用户输入、缺乏访问控制或其他常见安全问题。 5. 运行应用程序:将您的应用程序部署到Web服务器上,并启动服务器。确保应用程序可以正常访问,并且漏洞代码可以被触发。 请注意,shiro550漏洞可能涉及到非法攻击行为,这是非法且不道德的。在进行任何安全测试之前,请确保您已经获得了适当的授权,并仅在合法的测试环境中进行操作。 希望以上信息能对您有所帮助!如果您有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值