wyzxxz/heapdump_tool

建议添加shiro key寻找

Opened this issue · 6 comments

在springboot 环境中,经常见到env泄露并同时使用shiro的情况,根据原理可知,shiro在1.8之前知道密钥就可以进行反序列化攻击,并且利用条件极低。
select * from org.apache.shiro.web.mgt.CookieRememberMeManager
image

解密代码如下
image

import sun.misc.BASE64Encoder;

public class ShiroBytesKey_decode {
    public static void main(String[] args) {
        byte[] base =  new byte[]{48,68,92,126,-107,51,-26,-84,-92,38,44,98,112,-16,5,124} ;

        String base64 = Base64Utils.encode(base);
        System.out.println(base64);



        System.out.println(new BASE64Encoder().encode(base));
    }
}

在模式1下,可以用len=24查询,
shiro这个大家利用的比较多,可以单独加一个,下次更新时加上。

shirokey查询的功能有了吗

已发布