shrio反序列漏洞修复_Shiro反序列化漏洞检测及修复(工具分享)

最新推荐文章于 2024-05-15 15:49:34 发布
最新推荐文章于 2024-05-15 15:49:34 发布
阅读量1.8k 收藏 1
点赞数
文章标签: shrio反序列漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42439808/article/details/113540882
版权

写在前面

这篇博文主要解决于一些朋友为了修复反序列化漏洞,根据某些帖子的内容升级了shiro版本,或者采用了随机生成key的方式后,不知道是否管用。特地写下一篇记录,分享一个检测工具。

我在之前项目中碰到了这个问题,由于shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。

在此特别感谢其作者 feihong飞鸿。

反序列化漏洞是如何产生的

shiro版本<=1.2.4时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解密,最后反序列化。但在这个过程中,其AES的Key硬编码,导致反序列化漏洞的产生。(参考http://www.secwk.com/2019/09/18/2818/)

反序列化漏洞解决思路

从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式:

自行实现key值

升级到1.2.5版本或以上

那么在我的项目中,选择的是升级版本到1.2.6

测试工具下载地址

测试过程

1. 首先打开下载到的ShiroExploit,可以看到这样的界面。选择shiro550,在中间的白框,填入项目访问路径,点击下一步

最低0.47元/天 解锁文章
双通二极管
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ShiroExp-1.3.1-all.jar shiro反序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro反序列化检测工具 我这里是用于搭建攻防演练演示环境用
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Java反序列化漏洞(ysoserial工具使用、shiro反序列化利用)
qq_50854662的博客
05-26 1808
Java反序列化漏洞(ysoserial工具使用、shiro反序列化利用)
shiro_attack工具-shiro反序列化漏洞的快速检测和利用
最新发布
weixin_59047731的博客
05-15 594
今天分享一个好用的渗透测试工具,主要是针对shiro框架漏洞的,它可以自动的爆破shiro密钥,同时可以写入大马,本人实战中觉得很好用!!!工具名称。
Shiro反序列化漏洞利用笔记
文公子的博客
12-10 7177
Shiro反序列化漏洞利用笔记 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。目前在Java web应用安全框架中,最热门的产品有Spring Security和Shiro,二者在核心功能上几乎差不多,但Shiro更加轻量级,使用简单、上手更快、学习成本低,所以Shiro的使用量一直高于Spring Security。产品用户量之高,一旦爆发漏洞波及范围相当广泛,研究相关漏洞是很有必要的。 一、Shiro反序列化漏洞 1.1 安全框架 Apache Sh
关于Shiro反序列化漏洞的延伸—升级shiro也能被shell
jiangbb8686的博客
08-30 8143
首先感谢白帽子木板凳,本篇文章是对他提交的一个poc引发的思考。 0x00 概述 第一次接触shiro反序列化漏洞还是16年8月份,距离现在已经很久了,那时候只知道拿着个POC到处打,原理大致看过一下,也没太在意。 但是这次遇到一个问题——某些应用“将shiro升级到1.2.4之后的版本,还存在反序列化漏洞” 0x01 事件过程: 开始: 收到到一个漏洞和一段POC,发现是shiro...
[Java反序列化]—Shiro反序列化(二)
Sentiment的博客
06-28 1659
前篇通过urldns链来检测shiro550反序列化的存在,本篇就通过CC链来进行shiro的代码执行shiro中默认是没有CC依赖的,所以需要我们自行加上直接用CC6的链来打,提示类加载不到是一个JVM的标记,说明实际上这是一个数组,也就是说不能加载这个。简单看下原因在shiro自定义的中,调用的是,而ois是的实例化跟进下,其中只有一个构造方法和,这个是在java原生反序列化时会调用的一个方法,这里对他进行了重写,retrun返回的是再看下原生类的 他return的则是,所以区别也就在这里shiro
Shiro反序列化漏洞检测工具
01-05
Apache Shiro是一款强大的Java安全框架,它为...通过了解Shiro反序列化漏洞的原理和防范措施,我们可以更好地保护我们的系统免受此类攻击。同时,使用提供的检测工具进行定期扫描,也能及时发现并修复潜在的安全隐患。
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
shiro反序列化漏洞检测工具,含链接教程
08-17
该压缩包文件包含的`shiro_tool.jar`很可能是一个专门用于检测Apache Shiro反序列化漏洞工具。使用方法如描述所示,通过命令行输入`java -jar shiro_tool.jar`后跟目标服务器的URL,工具会尝试识别并测试该服务器...
shiro反序列化测试工具.zip
06-04
在这个名为"shiro反序列化测试工具.zip"的压缩包中,包含的是用于检测Shiro框架是否存在反序列化漏洞的测试工具。这些工具可以帮助开发者或安全研究员识别并修复潜在的安全隐患,确保应用的安全性。 以下是关于...
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1
ShiroExploit.V2.3rce图形化利用.zip
06-25
ShiroExploit.V2.3 shiro远程命令执行 550 721 一键漏洞利用 rce 图形化利用.zip
ShiroExploit.V2.42.zip
08-27
ShiroExploit 支持对Shiro550(硬编码秘钥)和Shiro721(Padding Oracle)的一键化检测,支持多种回显方式 使用说明 第一步:按要求输入要检测的目标URL和选择漏洞类型 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1 第二步: 选择攻击方式 pic2 选择 使用 ceye.io 进行漏洞检测
shiro安全漏洞整理记录
上善若水,水善利万物而不争
03-15 748
记一次shiro安全漏洞处理。 问题描述 shrio序列漏洞修复 修复方式 1、确定使用的shiro版本是否高于1.2.4 2、在代码中添加类文件生成AES密钥 package cn.hy.common.config; import org.apache.log4j.Logger; import org.springframework.context.annotation.Bean; import javax.crypto.KeyGenerator; import ja.
Shiro反序列化CVE-2016-4437
guishengyx的博客
10-20 241
vulfocus靶场
shiroshiro反序列化漏洞综合利用工具v2.2(下载、安装、使用)
yy1715713348的博客
03-29 1928
压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。客常用的开发软件都在这里了,给大家节省了很多时间。
shiro550反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-16 1万+
本文是shiro550漏洞(CVE-2016-4437)的漏洞原理和漏洞复现。本文所有使用的工具和脚本都会在文末给出链接。使用vulhub搭建靶场,漏洞复现包括手动构造cookie的payload或使用shiro550的图形化漏洞利用工具,最终实现shell和任意命令执行。
Shiro反序列化漏洞(CVE-2016-4437)+docker靶场+工具利用
weixin_46411728的博客
07-16 2178
shiro_attack_2.2
shiro反序列化漏洞工具
05-23
针对 Shiro 反序列化漏洞,已经有一些工具可以用于检测和利用该漏洞,例如: 1. ShiroExploit:Shiro 反序列化漏洞利用工具,可用于远程执行命令、shell 等。 2. ShiroScan:Shiro 反序列化漏洞扫描工具,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值