安全 |
您所在的位置:网站首页 › shiro加密模 › 安全 |
Java反序列化漏洞 Apache Shiro RememberMe 1.2.4 远程代码执行 工具地址Shiro rememberMe 在线解密https://sec.dog/shiroDecrypt.html 说明有些攻击告警需要排查cookie中remeberMe数据包,是否攻击成功,做了哪些操作。解密原理比较简单,使用常见的AES密钥解密,明文里包含aced0005的magic number即为解密成功 去年做了一个简单的网页版解密工具,源码弄丢了,又重新做了一个,内置100多个key,加入了对象结构化展示的功能,看起来更方便。原理是根据序列化协议,逐字节读取解析,参考了tcalmant/python-javaobj这个项目。ysoserial CommonsBeanutils CommonsCollections等payload都能识别展示出来 java字节码还原代码有些复杂,暂时不在网页上实现。可以下载为.class文件,使用在线版工具javadecompilers或在本地使用Col-E/Recaf、Konloch/bytecode-viewer等工具还原成java代码再分析 截图识别字节码,下载为class文件 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |