Neurohazard
暮雲煙月,皓首窮經;森羅萬象,如是我聞。

CVE-2016-4437 Shiro RememberMe 1.2.4 反序列化导致的命令执行漏洞复现

wpadmin~August 6, 2019 /InfoSec

CVE-2016-4437 Shiro RememberMe 1.2.4 反序列化导致的命令执行漏洞

<!–more–>

正文

复现参考资料
https://paper.seebug.org/shiro-rememberme-1-2-4/

一篇不错的分析

Apache Shiro Java反序列化漏洞分析 – 霞光里
https://www.cnblogs.com/loong-hon/p/10619616.html#top

一个检测工具 ShiroScan
https://bithack.io/forum/561

此外 Shiro 反序列化存在一个有前置条件的无需知道 key 的利用方法【补天/ASRC】。

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.