建议添加shiro key寻找
Opened this issue · 6 comments
fanyibo2009 commented
在springboot 环境中,经常见到env泄露并同时使用shiro的情况,根据原理可知,shiro在1.8之前知道密钥就可以进行反序列化攻击,并且利用条件极低。
select * from org.apache.shiro.web.mgt.CookieRememberMeManager
import sun.misc.BASE64Encoder;
public class ShiroBytesKey_decode {
public static void main(String[] args) {
byte[] base = new byte[]{48,68,92,126,-107,51,-26,-84,-92,38,44,98,112,-16,5,124} ;
String base64 = Base64Utils.encode(base);
System.out.println(base64);
System.out.println(new BASE64Encoder().encode(base));
}
}
wyzxxz commented
在模式1下,可以用len=24查询,
shiro这个大家利用的比较多,可以单独加一个,下次更新时加上。
fanyibo2009 commented
您好,您发来的邮件已收,谢谢!
kaking4 commented
shirokey查询的功能有了吗
fanyibo2009 commented
您好,您发来的邮件已收,谢谢!
wyzxxz commented
已发布
fanyibo2009 commented
您好,您发来的邮件已收,谢谢!