现实告诉我：保持好奇心，享受孤独

Apache Shiro 1.2.4反序列化漏洞（CVE-2016-4437）

发表于 2022-01-10 | 分类于漏洞复现 |

Apache Shiro是一款开源安全框架，提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用，同时也能提供健壮的安全性。

Apache Shiro 1.2.4及以前版本中，加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令。

漏洞复现

服务启动后，访问http://192.168.44.132:8080可使用admin:vulhub进行登录。

本文作者： joker0xxx3
本文链接： http://joker-vip.github.io/2022/01/10/Apache%20Shiro%201.2.4%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%EF%BC%88CVE-2016-4437%EF%BC%89/
版权声明： 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 3.0 许可协议。转载请注明出处！

0%