荐 深入Shiro反序列化漏洞与内存马
2020-07-16 17:13 | 评论:0 次 | 浏览: 61
Shiro反序列化漏洞漏洞介绍上图为Shiro默认的登录页面,页面可见:Shiro提供了记住我(RememberMe)的功能。然而,Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行:序列化、AES加密、Base64编码,三个操作。而在识别身份的时候,则需要对Cookie里的rememberMe字段进行逆操作:Base64解码AES解密反序列化由于AES加密的密钥K