原理 Shiro 反序列化漏洞的原理比较简单:为了让浏览器或服务器重启后用户不丢失登录状态,Shiro 支持将持久化信息序列化并加密后保存在 Cookie 的 rememberMe 字段中,下次读取时进行解密再反序列化。但是在 Shiro 1.2.4 版本之前内置了一个默认且固定的加密 Key,导致攻击者可以伪造任意的 rememberMe Coo…
标签: Shiro
1 篇文章
标签
2024 1Apache Santuario 1common-collections 1ctf 3ctfd 1CVE 1debug 1Easy 2esay 1eval 1fastjson 1fuzz 1hard 1jar 1java 2JavaAgent 1Jetty 2JNDI 1Linux 16log4j2 1Medium 1Middle 1Msf 1php 2script 1Shiro 1Spring 1SpringBoot 1sqli 1Tomcat 1waf 1Windows 3wsl 1XEE 1ysoserial 1代理 3信息收集 2内存马 5反序列化 1命令执行 1文件上传 1木马 1权限提升 1权限维持 1横向移动 2渗透 0漏洞复现 1盲注 1