漏洞简介
Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
漏洞复现
我们下载工具来完成这次复现:https://github.com/feihong-cs/ShiroExploit-Deprecated/releases/tag/v2.3
不知为何,vulhub的环境会检测失败?
相关文章
- 11-22Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)
- 11-22漏洞复现——Apache Shiro 反序列化漏洞(CVE-2016-4437)
- 11-22Vulhub-Apache-Shiro反序列化漏洞
- 11-22Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)
- 11-22Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)
- 11-22Apache Shiro 反序列化漏洞复现(CVE-2016-4437)
- 11-22Apache Shiro Java反序列化漏洞分析
- 11-22Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)
- 11-22Apache Shiro反序列化漏洞复现(CVE-2016-4437)
- 11-22【WEB安全】Apache Shiro 反序列化漏洞(上)