Java反序列化漏洞 Apache Shiro RememberMe 1.2.4 远程代码执行

Shiro rememberMe 在线解密https://sec.dog/shiroDecrypt.html

有些攻击告警需要排查cookie中remeberMe数据包，是否攻击成功，做了哪些操作。解密原理比较简单，使用常见的AES密钥解密，明文里包含aced0005的magic number即为解密成功

去年做了一个简单的网页版解密工具，源码弄丢了，又重新做了一个，内置100多个key，加入了对象结构化展示的功能，看起来更方便。原理是根据序列化协议，逐字节读取解析，参考了tcalmant/python-javaobj这个项目。ysoserial CommonsBeanutils CommonsCollections等payload都能识别展示出来

java字节码还原代码有些复杂，暂时不在网页上实现。可以下载为.class文件，使用在线版工具javadecompilers或在本地使用Col-E/Recaf、Konloch/bytecode-viewer等工具还原成java代码再分析

识别字节码，下载为class文件