Shiro反序列化漏洞检测及修复(工具分享)

最新推荐文章于 2025-04-03 16:15:01 发布
最新推荐文章于 2025-04-03 16:15:01 发布
阅读量1.5w 收藏 34
点赞数 19
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46418540/article/details/109021200
版权

Shiro反序列化漏洞检测及修复(工具分享)

写在前面

这篇博文主要解决于一些朋友为了修复反序列化漏洞,根据某些帖子的内容升级了shiro版本,或者采用了随机生成key的方式后,不知道是否管用。特地写下一篇记录,分享一个检测工具。
我在之前项目中碰到了这个问题,由于shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本(根据@CityHost提示,需要升级到1.5.x才能彻底解决该问题),但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit
在此特别感谢其作者 feihong飞鸿

反序列化漏洞是如何产生的

shiro版本<=1.2.4时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解密,最后反序列化。但在这个过程中,其AES的Key硬编码,导致反序列化漏洞的产生。(参考http://www.secwk.com/2019/09/18/2818/)

反序列化漏洞解决思路

从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式:

  1. 自行实现key值
  2. 升级到1.2.5版本或以上

那么在我的项目中,选择的是升级版本到1.2.6

测试工具下载地址

https://github.com/feihong-cs/ShiroExploit_GUI/releases

测试过程

1. 首先打开下载到的ShiroExploit,可以看到这样的界面。选择shiro550,在中间的白框,填入项目访问路径,点击下一步
在这里插入图片描述

2. 来到当前页面,选择使用回显进行漏洞检测,点击下一步
在这里插入图片描述
3. shiro1.2.4版本
可以看到,Trying Key,然后Find Valid key。相信从字面意思也看出来了,找到了这个硬编码的key,此时代表反序列化漏洞存在
在这里插入图片描述
4. 接下来我们看一下升级后的shiro1.2.6
很清晰看到与1.2.4的对比,Can not find a valid key,然后一直在Trying,此时漏洞已经不存在了
在这里插入图片描述
最后希望本篇文章能够帮助到大家,
再次郑重感谢工具作者飞鸿!!!

shrio反序列漏洞修复_Shiro反序列化漏洞检测修复工具分享
weixin_42439808的博客
01-30 1935
写在前面这篇博文主要解决于一些朋友为了修复反序列化漏洞,根据某些帖子的内容升级了shiro版本,或者采用了随机生成key的方式后,不知道是否管用。特地写下一篇记录,分享一个检测工具。我在之前项目中碰到了这个问题,由于shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具ShiroExploit。在此特别...
Weblogic+XML反序列化漏洞检查工具CVE-2017-10271+V1.2
05-21
好用的Weblogic XML 反序列化漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
文件内包含内容如下: 1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro反序列化漏洞、暴力破解漏洞修改方法
Shiro反序列化漏洞测试工具使用指南
weixin_34471637的博客
08-27 1612
本文还有配套的精品资源,点击获取 简介:Apache Shiro是一款提供身份验证、授权等安全功能的Java框架。其在处理会话管理时可能会遇到反序列化漏洞,即攻击者通过构造恶意序列化数据执行代码或获取敏感信息。本工具包提供了检测Shiro应用中潜在反序列化漏洞的测试工具,以帮助开发者或安全研究员识别并修复这些安全缺陷,保障应用安全。使用指南包括对序列化与反序列化概念的介绍、...
shiroshiro反序列化漏洞综合利用工具v2.2(下载、安装、使用)
最新发布
小王的技术库
04-03 414
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等。④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking。③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现。③常见协议解析(HTTP、TCP/IP、ARP等)④等保简介、等保规定、流程和规范。③网络安全运营的概念。
shiro_attack工具-shiro反序列化漏洞的快速检测和利用
weixin_59047731的博客
05-15 1979
今天分享一个好用的渗透测试工具,主要是针对shiro框架漏洞的,它可以自动的爆破shiro密钥,同时可以写入大马,本人实战中觉得很好用!!!工具名称。
工具分享 | ShiroScan - Shiro反序列化漏洞检测工具,一键getshell
IT软件汇
09-10 372
ShiroScan是Shiro反序列化漏洞检测工具,一键getshell,可以帮助测试人员快速找出shiro漏洞进行修复,从而避免老板的惩罚。
shiro反序列化漏洞修复
m0_67394360的博客
03-28 923
文章目录 shiro反序列化漏洞修复 前言 解决方案 shiro反序列化漏洞修复 前言 最近项目在进行安全漏洞扫描的时候,出现一个shiro反序列化漏洞的问题:目标IP站点存在Apache shiro 已知密钥泄露导致的远程代码执行漏洞。通过查找项目源码发现,在shiro的配置文件里,确实写死了一个秘钥,在开发环境的中不建议直接写死秘钥,大家要引以为戒! 解决方案 后面通过源码分析,发现了shiro有自己的随机生成秘钥的方法。既然找到的方法,那就好说了,按照源码的方式新写一个秘钥生成器 pu
Shiro反序列化漏洞检测工具
01-05
Apache Shiro是一款强大的Java安全框架,它为...通过了解Shiro反序列化漏洞的原理和防范措施,我们可以更好地保护我们的系统免受此类攻击。同时,使用提供的检测工具进行定期扫描,也能及时发现并修复潜在的安全隐患。
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞。 反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
shiro反序列化漏洞检测工具,含链接教程
08-17
该压缩包文件包含的`shiro_tool.jar`很可能是一个专门用于检测Apache Shiro反序列化漏洞的工具。使用方法如描述所示,通过命令行输入`java -jar shiro_tool.jar`后跟目标服务器的URL,工具会尝试识别并测试该服务器...
基于Python语言的ShiroScan:全面检测Shiro反序列化漏洞的设计源码
10-04
ShiroScan作为一款专注于检测Shiro反序列化漏洞的工具,它的出现不仅提升了使用Shiro框架的应用程序的安全性,也为信息安全领域增添了一个有力的防护工具。通过定期使用ShiroScan进行漏洞检测,可以大幅度降低因...
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1
反序列化漏洞检查工具 Weblogic XML CVE-2017-10271
01-09
好用的Weblogic XML 反序列化漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
jboss反序列化漏洞检测工具
02-15
jboss中间件的反序列化漏洞检测工具,可检测主机搭建的中间件并获得shell
shiro反序列化测试工具.zip
06-04
shiro反序列化测试工具包,两个使用任意一个即可
java反序列化终极工具_检测java反序列化漏洞
weixin_28781243的博客
02-25 2139
java反序列化终极测试工具是一款检测java反序列化漏洞工具,直接将Jboss、Websphere和weblogic的反序列化漏洞的利用集成到了一起。java反序列化漏洞已经被曝出一段时间了,其强大的破坏力让我们防不胜防!有没有合理的方法扫描、解决这些漏洞呢?产生原因:在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:HTTP请求中的参数,cookies以...
apache shiro 反序列化漏洞解决方案
qq_36407469的博客
07-27 5680
一、反序列化漏洞介绍 序列化:把对象转换为字符串或者字节流的过程。 反序列化:把字符串或者字节流恢复为对象的过程。 反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。 二、产生原因 shiro提供了记住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能记住你是谁,无需登录即可访问。 shiro默认使用了CookieRememberMeMa
shiro反序列化漏洞修复(使用随机密钥)
m0_67400973的博客
03-28 2965
说明:shiro低版本使用固定默认密钥,有被攻击的风险,可以升级shiro版本,Apache官方已在1.2.5及以上版本中修复此漏洞,但是此方式有依赖冲突的风险。这里说说不升级版本的解决方案,这方案和官方的方案一样,都是使用生成的随机密钥 1、创建随机生成密钥工具 public class GenerateCipherKey { /** * 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNe
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值