在平时做项目的时候,其java的组件 基本上每次都会遇到,sprint shiro struts2 jboss 等。都有统一的漏洞 反序列化漏洞。
Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。
实际上,Shiro的主要功能是管理应用程序中与安全相关的全部,同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的,支持各种自定义行为。Shiro提供的默认实现,使其能完成与其他安全框架同样的功能,这不也是我们一直努力想要得到的吗!
Apache Shiro相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。
如何判断web页面是否使用了shiro组件?
抓包 看返回包 goby 组件识别
如何利用?
不要说用ysoserial.jar去生成payload,在base64加密 丢进cookie 真的麻烦 还容易失败。
所以推荐两个好用的工具。
第一个:
第二个(基于命令行):
shiro_tool.jar
注意bash反弹前面要加上bash= 不然反弹不了。
