shiro721代码执行漏洞
时间: 2024-02-28 16:51:02 浏览: 21
Shiro721是指Apache Shiro框架中的一个代码执行漏洞,该漏洞的CVE编号为CVE-2020-13933。该漏洞允许攻击者通过构造恶意请求来执行任意代码,从而导致系统被远程攻击者完全控制。
该漏洞的原因是在Shiro框架中,当使用RememberMe功能时,如果攻击者能够获取到RememberMe cookie的内容,并且该内容没有经过正确的验证和过滤,那么攻击者就可以构造恶意的RememberMe cookie来执行任意代码。
攻击者可以通过构造一个包含恶意代码的RememberMe cookie,并将其发送给目标服务器。当服务器接收到该cookie并进行解析时,恶意代码就会被执行,从而导致系统被攻击者控制。
为了修复这个漏洞,Apache Shiro项目发布了修复版本,并建议用户尽快升级到最新版本以避免受到攻击。
相关问题
shiro-721 代码执行
Shiro-721是一种Shiro框架的漏洞,攻击者可以利用该漏洞执行任意代码。为了利用Shiro-721漏洞,需要先获取一个有效的rememberMe Cookie,并将其作为输入参数提供给ShiroExploit Shiro-721工具。通过下载Shiro-721 Padding Oracle Attack工具,可以进行攻击的准备。在攻击前,可以使用ysoserial工具生成一个payload,例如使用CommonsBeanutils1生成一个执行ping命令的payload。最后,可以使用Apache Shiro 1.4.1和tomcat:8-jre8环境来进行Shiro-721代码执行。<span class="em">1</span><span class="em">2</span><span class="em">3</span>
#### 引用[.reference_title]
- *1* *2* *3* [[Vulhub] Apache Shiro 反序列化漏洞(shiro-550,shiro-721)](https://blog.csdn.net/weixin_45605352/article/details/116846678)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"]
[ .reference_list ]
shiro-550和shiro-721漏洞的异同点
Shiro-550和Shiro-721漏洞都是Apache Shiro框架的安全漏洞,但它们的漏洞类型和漏洞影响不同。
Shiro-550漏洞是Apache Shiro框架中的一种远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据包,触发远程代码执行漏洞,从而实现对目标系统的完全控制。该漏洞可被用于在目标服务器上执行任意命令,获取敏感信息等。
Shiro-721漏洞是Apache Shiro框架中的一种权限绕过漏洞,攻击者可以通过构造特定的请求,来绕过Shiro框架的权限控制,从而访问未经授权的资源或执行未经授权的操作。该漏洞可被用于获取未经授权的访问权限,访问敏感信息等。
因此,Shiro-550和Shiro-721漏洞的主要区别在于漏洞类型和漏洞影响。建议开发者及时升级Shiro框架版本或者关闭相关功能以避免此类漏洞的风险。同时,建议对请求参数进行严格的过滤和验证,避免恶意请求的输入。