漏洞描述
Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
影响范围
Apache Shiro版本<=1.2.4
漏洞复现
1.vulhub进入漏洞目录拉起环境
2.访问http://ip:8080,可以看到登录界面
![](https://img.laitimes.com/img/_0nNw4CM6IyYiwiM6ICdiwiIyVGduV2YfNWawNCM38FdsYkRGZkRG9lcvx2bjxiNx8VZ6l2cs0TP310MRRlT6dmeNBDOsJGcohVYsR2MMBjVtJWd0ckW65UbM5WOHJWa5kHT20ESjBjUIF2X0hXZ0xCMx81dvRWYoNHLrdEZwZ1Rh5WNXp1bwNjW1ZUba9VZwlHdssmch1mclRXY39CXldWYtlWPzNXZj9mcw1ycz9WL49zZuBnL4UjNwQDNyUTM4EDMxAjMwIzLc52YucWbp5GZzNmLn9Gbi1yZtl2Lc9CX6MHc0RHaiojIsJye.png)
3.随便输一个账号密码,勾选remeber me,抓包查看返回包set-cookie字段中存在 remeberMe=deleteMe字段
4.直接上工具开打,
5.选择用dnslog.cn进行漏洞检测
6.获取到了key和Gadget
7.但是在执行命令发现没办法看到回显
8.换一种方法,选择使用回显进行漏洞检测,可以提供一个静态资源 URL,程序会将此静态资源所在的目录当做写入目录
9.我这里随便选了一个js文件作为回显,回显成功
修复建议
升级shiro版本