草庐IT

550

全部标签

Apache Shiro反序列化漏洞(Shiro550)

1.漏洞原理:Shiro是Java的一个安全框架,执行身份验证、授权、密码、会话管理shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。2.特征判断:返回包中包含rememberMe=deleteMe字段。   3.如何去利用:(1)反序列化--->AES加密---->base64加密--->填充rememberMe字段(2)利用工具:直接命令执行  ①打开搭建的shiro框架网站 
ShiroApachespanfont-sizestyle网络安全

python smtplib.SMTP_SS发邮件提示550, b‘The “From“ header is missing or invalid

ldquo提示39xffxff0cpython
1234