本文主要是介绍漏洞复现(五):Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
漏洞原理
Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
漏洞复现
环境搭建
cd vulhub/shiro/CVE-2016-4437/
docker-compose up -d
漏洞利用
工具:https://github.com/feihong-cs/ShiroExploit/releases/tag/v2.3
环境有点问题。。。。
参照:https://blog.csdn.net/weixin_44769042/article/details/121300760?spm=1001.2014.3001.5501
这篇关于漏洞复现(五):Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
