CVE-2016-4437 Shiro RememberMe 1.2.4 反序列化导致的命令执行漏洞复现

wpadmin~August 6, 2019 /InfoSec

CVE-2016-4437 Shiro RememberMe 1.2.4 反序列化导致的命令执行漏洞

正文

http://sbd.ximcx.cn/ShiroRce/

复现参考资料
https://paper.seebug.org/shiro-rememberme-1-2-4/

一篇不错的分析

Apache Shiro Java反序列化漏洞分析 – 霞光里
https://www.cnblogs.com/loong-hon/p/10619616.html#top

一个检测工具 ShiroScan
https://bithack.io/forum/561

此外 Shiro 反序列化存在一个有前置条件的无需知道 key 的利用方法【补天/ASRC】。

#CloudScanner

Leave a Reply Cancel reply