漏洞描述
Apache Shiro 1.2.4及以前版本中,加密的使用者資訊序列化後存儲在名為remember-me的Cookie中。攻擊者可以使用Shiro的預設密鑰僞造使用者Cookie,觸發Java反序列化漏洞,進而在目标機器上執行任意指令。
影響範圍
Apache Shiro版本<=1.2.4
漏洞複現
1.vulhub進入漏洞目錄拉起環境
2.通路http://ip:8080,可以看到登入界面
![](https://img.laitimes.com/img/_0nNw4CM6IyYiwiM6ICdiwiIyVGduV2YfNWawNCM38FdsYkRGZkRG9lcvx2bjxiNx8VZ6l2cs0TP310MRRlT6dmeNBDOsJGcohVYsR2MMBjVtJWd0ckW65UbM5WOHJWa5kHT20ESjBjUIF2X0hXZ0xCMx81dvRWYoNHLrdEZwZ1Rh5WNXp1bwNjW1ZUba9VZwlHdssmch1mclRXY39CXldWYtlWPzNXZj9mcw1ycz9WL49zZuBnL4UjNwQDNyUTM4EDMxAjMwIzLc52YucWbp5GZzNmLn9Gbi1yZtl2Lc9CX6MHc0RHaiojIsJye.png)
3.随便輸一個賬号密碼,勾選remeber me,抓包檢視傳回包set-cookie字段中存在 remeberMe=deleteMe字段
4.直接上工具開打,
5.選擇用dnslog.cn進行漏洞檢測
6.擷取到了key和Gadget
7.但是在執行指令發現沒辦法看到回顯
8.換一種方法,選擇使用回顯進行漏洞檢測,可以提供一個靜态資源 URL,程式會将此靜态資源所在的目錄當做寫入目錄
9.我這裡随便選了一個js檔案作為回顯,回顯成功
修複建議
更新shiro版本