项目是借用一个开源项目,然后被发现有shiro反序列化漏洞,如下图: 有了以上漏洞,就可以在服务器执行任意指令。如下图: 解决过程:1、升级shiro到最新版本1.9.1,却发现还是可以挂马;2、查开源代码,发现代码里面有指定密钥(可能是早期版本的shiro需要吧),如下:cookieRememberMeManager.setCipherKey(Base64.decode("fCq+/xW488hMTCD+cmJ3aQ=="));删除后,改成随机密钥。3、用shiro反序列化漏洞工具扫描,已经无法直接挂马,但还是有两点,可以扫描发现shiro框架,可以爆力穷举密钥。如下图: 当然16字
✅作者简介:2022年博客新星第八。热爱国学的Java后端开发者,修心和技术同步精进。🍎个人主页:JavaFans的博客🍊个人信条:不迁怒,不贰过。小知识,大智慧。💞当前专栏:SpringBoot框架从入门到精通✨特色专栏:国学周更-心性养成之路🥭本文内容:一文总结Shiro实战教程文章目录1.权限的管理1.1什么是权限管理1.2什么是身份认证1.3什么是授权2.什么是shiro3.shiro的核心架构3.1Subject3.2SecurityManager3.3Authenticator3.4Authorizer3.5Realm3.6SessionManager3.7SessionDAO3.
✅作者简介:2022年博客新星第八。热爱国学的Java后端开发者,修心和技术同步精进。🍎个人主页:JavaFans的博客🍊个人信条:不迁怒,不贰过。小知识,大智慧。💞当前专栏:SpringBoot框架从入门到精通✨特色专栏:国学周更-心性养成之路🥭本文内容:一文总结Shiro实战教程文章目录1.权限的管理1.1什么是权限管理1.2什么是身份认证1.3什么是授权2.什么是shiro3.shiro的核心架构3.1Subject3.2SecurityManager3.3Authenticator3.4Authorizer3.5Realm3.6SessionManager3.7SessionDAO3.
文章目录Shiro安全框架一、入门概述1.1、Shiro是什么1.2、为什么使用Shiro1.3、Shiro与SpringSecurity的区别1.4、基本功能1.4.1、主要功能1.4.2、次要功能1.5、架构原理二、基本使用2.1、环境准备2.2、配置ini文件2.3、登录认证2.3.1、登录认证概念2.3.2、登录认证的流程2.3.3、登录认证示例2.4、角色、授权2.4.1、授权2.4.1.1、授权方式2.4.1.2、授权流程2.4.2、角色2.4.3、角色授权示例2.5、密码加密2.5.1、使用Shiro进行加密三、Shiro整合SpringBoot3.1、整合依赖3.2、yml配置
文章目录Shiro安全框架一、入门概述1.1、Shiro是什么1.2、为什么使用Shiro1.3、Shiro与SpringSecurity的区别1.4、基本功能1.4.1、主要功能1.4.2、次要功能1.5、架构原理二、基本使用2.1、环境准备2.2、配置ini文件2.3、登录认证2.3.1、登录认证概念2.3.2、登录认证的流程2.3.3、登录认证示例2.4、角色、授权2.4.1、授权2.4.1.1、授权方式2.4.1.2、授权流程2.4.2、角色2.4.3、角色授权示例2.5、密码加密2.5.1、使用Shiro进行加密三、Shiro整合SpringBoot3.1、整合依赖3.2、yml配置
目录1工具下载2依赖环境安装3使用1工具下载shiro反序列化漏洞综合利用工具v2.2下载:链接:https://pan.baidu.com/s/1kvQEMrMP-PZ4K1eGwAP0_Q?pwd=zbgp提取码:zbgp其他工具下载:除了该工具之外,github上还有其他大佬贡献的各种工具,有许多python编写的工具,功能简单,可以作为理解shiro漏洞原理并编写自己工具的教材。2依赖环境安装说明:shiro反序列化漏洞综合利用工具v2.2是采用java编写的,需要使用java8环境来解析下载java8环境:可以在官网下载java8的安装包,根据自己系统情况选择适合自己的安装包。如果是
目录1工具下载2依赖环境安装3使用1工具下载shiro反序列化漏洞综合利用工具v2.2下载:链接:https://pan.baidu.com/s/1kvQEMrMP-PZ4K1eGwAP0_Q?pwd=zbgp提取码:zbgp其他工具下载:除了该工具之外,github上还有其他大佬贡献的各种工具,有许多python编写的工具,功能简单,可以作为理解shiro漏洞原理并编写自己工具的教材。2依赖环境安装说明:shiro反序列化漏洞综合利用工具v2.2是采用java编写的,需要使用java8环境来解析下载java8环境:可以在官网下载java8的安装包,根据自己系统情况选择适合自己的安装包。如果是
ckageorg.fh.config;importorg.apache.shiro.cache.ehcache.EhCacheManager;importorg.apache.shiro.spring.LifecycleBeanPostProcessor;importorg.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;importorg.apache.shiro.spring.web.ShiroFilterFactoryBean;importorg.apache.shiro.web.m
ckageorg.fh.config;importorg.apache.shiro.cache.ehcache.EhCacheManager;importorg.apache.shiro.spring.LifecycleBeanPostProcessor;importorg.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;importorg.apache.shiro.spring.web.ShiroFilterFactoryBean;importorg.apache.shiro.web.m
一、漏洞描述ApacheShiro是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理。在具有Spring动态控制器的1.5.2之前的ApacheShiro版本中,攻击者可以使用恶意构造的请求..;利用ApacheShiro和SpringBoot对URL的处理的差异化,可以绕过ApacheShiro对SpringBoot中的Servlet的权限控制,越权并实现未授权访问。二、影响版本ApacheShiro三、漏洞复现1、搭建环境通过执行以下命令,使用Spring2.2.2和Shiro1.5.1启动应用程序。docker-composeup-d目录:/shiro/CV
