另类又不另类的shiro检测方式

最新推荐文章于 2024-02-22 17:22:16 发布
VIP文章 最新推荐文章于 2024-02-22 17:22:16 发布
阅读量1.1k 收藏 4
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45682070/article/details/122991134
版权

前言

先随便唠叨几句,当碰到某个漏洞的时候,我们用工具直接去打,成功了就成功了,没成功我们也不知道为啥,即使是问出来为啥,可能不理解其中的含义也不知道说的啥。同事说我的文章都是别人写过的文章,然后截个图就完事了。我想说的是整个反序列化系列都是我跟随前人的步伐一步一步踏过来的,脚印很扎实。正所谓知其然不知其所以然,连探索精神都没有,我觉得那只能堕落,沉沦,灭亡。

下面我们说文章。一般我们检测shiro的方法是用URLDNS链条或者cc链条去盲打,这篇文章来记录一下如何有效的检测shiro(检测是否为shiro,检测shiro的key)。

密钥key不正确的时候

当key错误的时候,我们知道 AbstractRememberMeManager#decrypt 是处理解密的过程。

protected byte[] decrypt(byte[] encrypted) {
    byte[] serialized = encrypted;
    CipherService cipherService = this.getCipherService();
    if (cipherService != null) {
        ByteSource byteSource = cipherService.decrypt(encrypted, this.getDecryptionCipherKey());
        serialized = byteSource.getBytes();
    }
    return serialized;
}

代码会走到cipherService.decrypt()这里,由于key是错误的,肯定解密不出来,下面来跟进一下代码。

最低0.47元/天 解锁文章
XiaoLeiZhaoO
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【安全框架】浅谈Shiro在项目中的应用
sumo084的博客
09-17 2362
Shiro是什么?简单来说它是一个Apache的一个Java安全框架,具体这里就不详细赘述了,请大家自行查看百度百科。这个我们只介绍怎么用。 首先在pom.xml文件里面添加Shiro依赖,如下: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-co...
shiro远程命令执行漏洞检测工具.zip
11-15
shiro远程命令执行漏洞检测工具:包括了shiro_attack_2.2和ShiroExploit.V2.51,大家可根据需要自行下载
shiro漏洞检测工具
08-10
shiro漏洞检测工具,找了一个18M左右的不好用,经验证这个好用,不会报找不到类错误。
Shiro-13-test 测试
最新发布
02-22 388
这部分文档解释了如何在单元测试中启用Shiro
shiro-core 低版本漏洞检测
01-31
shiro-core 低版本漏洞检测工具
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞。
一种另类shiro检测方式1
08-03
2022/3/3 下午11:09种另类shiro检测式种另类shiro检测shiro 这玩意今年出现在众视野,众多师傅喊hvv没有shiro不会玩,实际上
shiro最简单整合版本
06-08
shiro最简单整合版本shiro最简单整合版本shiro最简单整合版本shiro最简单整合版本shiro最简单整合版本
查看Apache shiro版本
m0_67394360的博客
04-12 8645
先进到程序部署的路径下,执行 grep -rn ‘org.apache.shiro’ 如图: [root@localhost webapps]# cd /home/server/wbgl/apache-tomcat-1124/webapps [root@localhost webapps]# grep -rn 'org.apache.shiro' Binary file ROOT/WEB-INF/classes/com/inspur/sso/MainController.class matches Bina
Apache Shiro 简介
allway2的博客
09-23 1223
到目前为止,我们已经概述了 Apache Shiro 的基本结构,并且我们已经在桌面环境中实现了它。请注意,这里的主要焦点是 Shiro,而不是 Spring 应用程序——我们只会使用它来支持一个简单的示例应用程序。在本教程中,我们研究了 Apache Shiro 的身份验证和授权机制。此外,在角色部分,我们为每个角色定义了不同的权限或访问级别。方法是我们实现如上所述的实际用户身份验证的地方。在本教程中,我们将在桌面环境中探索该框架。如果提供的凭据是正确的,那么一切都会好起来的。不同的情况有不同的例外。
Apache Shiro 验证
iteye_9972的博客
04-17 110
Apache Shiro验证(Authentication) 验证(Authentication):身份验证的过程--也就是证明一个用户的真实身份。为了证明用户身份,需要提供系统理解和相信的身份信息和证据。 需要通过向shiro提供用户的身份(Principals)和证明(credentials)来判定是否和系统所要求的匹配。 身份(Principals)是Subject的“身份属性...
Shiro 安全框架 详解
共勉
06-07 4875
Shiro简介 Apache ShiroJava的一个安全(权限)框架。 Shiro可以非常容易的开发出足够好的应用,不仅可以用在JavaSE环境,也可以用在JavaEE环境。 Shiro可以完成:认证、授权、加密、会话管理、与Web集成、缓存等。 Shiro的下载 在官网上进行下载:http://shiro.apache.org/ 选择Download跳转到下载界面: 选择版本,(当前稳定版本,源代码分发,单击进入) 之后可以在单击zip进行直接下载 或者使用Git项目管理工具进行克隆源代码:Gi
查看shiro版本_Shiro<=1.2.4反序列化漏洞利用
weixin_39980353的博客
12-10 2397
前言Shiro<=1.2.4 反序列化漏洞近期不管是护网或者大牛文字中经常提到、利用的漏洞,有些人甚至说:“没有Shiro反序列化不会打护网”所以,决定复现一下并且记录下来环境搭建DockerKaliJavaPython3我是在Kali上用Docker搭建的环境,命令如下#获取镜像dockerpullmedicean/vulapps:s_shiro_1#获取镜像之后,部署镜...
909422229__结合SSM框架讲解Shiro案例 Shiro Demo
要有梦想,即使遥远
09-12 4014
本教程结合SSM(SpringMVC + Mybatis)框架讲解ShiroShiroJava  的一个安全框架。我们经常看到它被拿来和 Spring  的 Security  来对比。),讲解的内容有自定义Shiro拦截器,Shiro Freemarker标签,Shiro JSP标签,权限控制讲解,并提供Shiro Demo下载。 Shiro Demo环境准备 开发工具
Shiro漏洞检测
weixin_43554548的博客
05-10 8917
关于Shiro漏洞检测工具的使用说明Shiro-550反序列化漏洞简介漏洞检测工具工具一:ShiroExploit工具二:shiro_attack-2.2补充说明 Shiro-550反序列化漏洞简介 漏洞简介: Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户
shiro反序列化漏洞复现
94小菜
09-27 2152
目录简介:靶场环境漏洞复现一、手工复现二、图形化工具 简介: Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性 漏洞原理: Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。 那么,Payload产生的过程: 命令=&
在 Web 项目中应用 Apache Shiro 开源权限框架
百威
03-28 228
Apache Shiro 是功能强大并且容易集成的开源权限框架,它能够完成认证、授权、加密、会话管理等功能。认证和授权为权限控制的核心,简单来说,“认证”就是证明你是谁? Web 应用程序一般做法通过表单提交用户名及密码达到认证目的。“授权”即是否允许已认证用户访问受保护资源。关于 Shiro 的一系列特征及优点,很多文章已有列举,这里不再逐一赘述,本文重点介绍 Shiro 在 Web Appli...
shiro的会话管理器SessionManager
zsg88的专栏
06-28 4687
SessionManager会话管理器管理着应用中所有Subject的会话的创建、维护、删除、失效、验证等工作。 public interface SessionManager { Session start(SessionContext context); //启动会话  Session getSession(SessionKey key) throws SessionExce

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值