从Shiro源码到漏洞利用:IDEA2021调试Shiro550反序列化的完整流水线

最新推荐文章于 2026-06-19 14:53:44 发布
原创 最新推荐文章于 2026-06-19 14:53:44 发布 · 763 阅读 · 5
标签
#Shiro550 #反序列化漏洞 #Java安全 #IDEA调试

从Shiro源码到漏洞利用:IDEA2021调试Shiro550反序列化的完整流水线

在Java安全研究领域,Shiro框架的反序列化漏洞一直是值得深入分析的经典案例。本文将带您走进Shiro550漏洞的调试现场,通过IDEA2021的动态分析工具,逐层解剖RememberMe反序列化的完整链条。不同于简单的环境搭建指南,我们更关注如何通过调试手段理解漏洞本质,适合已经具备Java基础的安全研究人员深入实践。

1. 实验环境构建与准备

构建一个可靠的调试环境是分析漏洞的第一步。我们需要准备以下核心组件:

  • Apache Tomcat 8.5.76:这个版本的Tomcat与Shiro1.2.4兼容性最佳,避免因容器差异导致调试异常
  • JDK 1.7u21:特定JDK版本能准确复现漏洞场景,建议使用Oracle官方归档版本
  • Shiro 1.2.4源码:直接从Apache仓库获取完整代码库,便于跟踪方法调用链
  • 漏洞利用工具链:包括ysoserial和配套的调试工具集

环境配置时需要特别注意JDK版本管理。现代开发机通常安装多版本JDK,可通过以下方式在IDEA中精确控制:

# 检查当前生效的Java版本
$JAVA_HOME/bin/java -version

在IDEA中配置Tomcat时,三个关键参数需要匹配:

配置项 要求说明 常见问题
Tomcat路径 使用解压后的完整目录 避免路径包含中文或空格
JDK选择 必须
最低0.47元/天 解锁文章
HH234
关注
JAVA安全Shiro反序列化&DNS利用链&CC利用链&AES动态调试
2301_76227305的博客
02-12 1389
目前主流公开的利用链都进行了分析,后续如果有其它的链条,再慢慢分析吧。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
[Java反序列化]—Shiro反序列化(一)
snowlyzz的博客
12-05 7992
shiro -550 反序列化(一)
shiro反序列化漏洞学习(工具+原理+复现)
qq_49849300的博客
03-10 1万+
由于shiro反序列化需要用到AES加密,而该加密方法的密钥是加解密一致的,所以我们使用shiro反序列化时,AES加密的密钥必须跟服务器一致,所以经常需要盲猜服务器的密钥,好在java开发们一般都不会去修改它,而且常常直接copy论坛和github上的代码,所以可以大量收集各种密钥,然后遍历来完成反序列化漏洞利用。反过来,把字节序列(json/xml)恢复为Java对象的过程就叫反序列化。"方法,Base64.decode()中的字符串就是shiro的密钥,要确保该密钥的安全性,千万不要使用公开的密钥。
Apache Shiro反序列化漏洞研究及解决方法
segegefe的博客
09-01 2694
一个阳光明媚的午休,我正惬意的喝着茶听着音乐,享受美好生活的时候,客户的QQ头像闪动了,原以为是出了什么新需求临时需要调整,没想到客户反馈的是平台出现了严重漏洞,不敢小视,抄起电脑开弄我根据客户给出的安全厂商反馈的问题,总结如下:1,Shiro反序列化漏洞2,提到了dnslog.cn平台。...
Fastjson反序列化漏洞深度剖析:从原理到实战的攻防研究
weixin_34226182的博客
06-17 430
反序列化是分布式系统和数据交换中的基础技术,它将序列化后的数据(如JSON字符串)还原为内存中的对象,极大便利了编程。然而,其核心风险在于,反序列化器会根据数据中的类型信息自动调用目标类的构造方法或setter方法。如果攻击者能够控制输入数据,就可能诱导程序加载并初始化具有危险行为的类,从而将数据输入转化为代码执行,这就是反序列化漏洞的基本原理。这类漏洞对应用安全构成严重威胁,常被用于实现远程代码执行(RCE)。Fastjson作为广泛使用的高性能JSON处理器,其支持通过`@type`指定反序列化类型的特
Jackson反序列化漏洞深度解析:从原理到实战防御
weixin_29324401的博客
06-19 244
序列化与反序列化是软件数据交互的核心机制,它将内存中的对象转换为可存储或传输的格式(如JSON),并在接收端重建对象。其原理在于通过类型信息恢复对象状态与行为,但这也引入了安全风险:攻击者可通过篡改序列化数据,诱使反序列化过程实例化危险类并执行恶意代码,从而形成反序列化漏洞。这种漏洞的技术价值在于揭示了数据解析与对象构建过程中的信任边界问题,是Web安全与软件供应链安全的关键挑战。其应用场景广泛存在于Java生态的RPC通信、缓存存储和API数据交换中。本文聚焦于Jackson库近期因“Jackson图火车
Vulhub:基于Docker的漏洞靶场实战指南与安全研究平台
weixin_30546189的博客
06-18 314
在网络安全领域,漏洞复现与攻防演练是提升实战能力的关键环节。传统方式下,搭建漏洞环境往往面临配置复杂、依赖冲突、环境隔离困难等挑战。Docker容器化技术通过提供轻量级、标准化的环境封装,为安全实验带来了革命性便利。其核心原理是利用容器实现进程、文件系统和网络的隔离,确保每个漏洞环境独立且纯净。结合Docker Compose工具,可以一键编排和启动包含多个服务(如Web服务器、数据库)的完整应用栈,极大降低了环境搭建的复杂度与技术门槛。这种技术组合的价值在于,它使得安全研究人员和学习者能够快速、可重复地在
java反序列化漏洞POP查找_分析调试apache shiro反序列化漏洞(CVE-2016-4437)
weixin_39664746的博客
03-08 301
文章最后更新时间为:2020年03月16日 16:38:091. 什么是java反序列化序列化和反序列化是一种常见的编程思想,php、python也都存在此种机制。序列化就是将对象转化成字节流,便于保存在内存、文件或者数据库中(保存此对象的状态)。反序列化就是将字节流转化为对象。java反序列化也类似,某个类只要实现了java.io.Serialization(或者java.io.External...
shiro反序列化漏洞分析、模拟攻击及修复(一)
婷子的博客
12-16 1万+
实验概述 Apache ShiroJava 的权限及安全验证框架中占用重要的一席之地,在它编号为550的 issue 中爆出严重的 Java 反序列化漏洞。下面,我们将首先搭建漏洞环境,模拟还原此漏洞的场景及分析,最后修补此漏洞。 实验内容 在windows环境中搭建shiro漏洞环境 分析漏洞原因 使用反弹shell利用漏洞模拟攻击 漏洞修复分析及方案 实验采用工具与环境 W...
Apache Shiro 1.2.4反序列化漏洞分析
jiangbb8686的博客
08-30 3787
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 0×00 Apache Shiro 这个组件的漏洞很久之前就爆出来了,但是最近工作中又遇到了,刚好最近也在看Java反序列化的东西,所以决定拿出来再分析一下,期间也遇到了一些奇怪的问题。 网上的分析文章中大部分都是手动添加了commons-collections4-4.0的依...
SHIRO-550 反序列化漏洞分析
热门推荐
three_feng的博客
08-12 2万+
所需环境:   1、maven 2、jdk1.6 jdk1.8(默认java环境是1.8,1.6是用于配置下面的toolchains) 3、eclipse   一、搭建漏洞环境   下载漏洞示例代码 https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4   解压并使用e
漏洞复现——shiro反序列化
小林说安全的博客
05-22 6094
漏洞复现——shiro反序列化
shiro反序列化
aixioxiaoxaio的博客
07-20 7852
shiro反序列化 首先呢,我们要了解shiro反序列化是什么。 Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。2016年,网络中曝光1.2.4以前的版本存在反序列化漏洞漏洞原理 Apache Shiro框架提供了一个记住我的功能,这个功能在用户登录成功之后,会生成一个加密后的cookie。其中记住我的RememberMe就是cookie中的key。cookie的值是对相关信息进过序列化,再进行aes加密,再使用base64编码之后形成的。 服务端接收cookie值
Apache-shiro反序列化
haha1314的博客
04-22 1861
使用docker搭建环境 获取docker镜像 docker pull medicean/vulapps:s_shiro_1 重启docker systemctl restart docker 启动docker镜像: docker run -d -p 8081:8080 medicean/vulapps:s_shiro_1 访问: http://localhost:8081/ 环境搭建成功 ...
驱动冲突伴随 DWG 图纸文字问号怎么办?下载冲突解决合集.zip
最新发布
06-19
彻底解决CAD图纸文字变问号、文字变乱码,以及其他所有字体缺失带来的烦恼
【对架无人机进行规范控制和点对点运动的模拟】可变桨叶四旋翼控制的优化推力分配:翻转动作的比较研究(Matlab代码实现)
06-19
内容概要:本文围绕可变桨叶四旋翼无人机的规范控制与点对点运动模拟展开,重点研究优化推力分配策略在翻转动作中的应用与性能比较。通过Matlab代码实现,构建了四旋翼动力学模型,并设计了多种控制算法以实现精确的姿态调整与轨迹跟踪。研究对比了不同推力分配方案在执行高机动性翻转动作时的稳定性、能耗效率与响应速度,旨在提升无人机在复杂飞行任务中的动态性能与控制精度。该仿真研究为无人机飞控系统的设计与优化提供了理论依据和技术支持。; 适合人群:具备一定自动控制理论基础和Matlab编程能力,从事无人机控制、飞行器动力学或机器人系统研究的科研人员及研究生。; 使用场景及目标:① 实现四旋翼无人机在三维空间中的精确点对点运动控制;② 对比分析不同推力分配策略在执行翻转等高难度动作时的控制效果与能耗表现,优化飞行性能;③ 为无人机自主飞行、特技飞行及复杂环境下的机动控制提供算法验证平台。; 阅读建议:此资源以Matlab仿真为核心,建议读者结合相关控制理论知识,深入理解代码实现细节,重点关注动力学建模、控制律设计与推力分配模块。在学习过程中,应动手调试参数,复现文中翻转动作的仿真结果,并尝试拓展至其他复杂飞行任务,以加深对无人机控制机理的理解。
易语言源码易语言access数据库操作
06-19
易语言源码易语言access数据库操作
C++编程while循环结构测试题解析:程序输出与循环控制逻辑训练
06-19
内容概要:本文档是一份关于C++语言中while循环的专项测试卷,包含20道单项选择题和10道判断题,题目来源于GESP和CSP-J等权威编程等级考试真题。内容涵盖while循环的基本语法、执行逻辑、条件判断、循环控制、常见死循环原因及与其他循环结构的区别,重点考察循环条件的真假判断、循环体执行次数、变量变化过程以及相关逻辑推理能力。附带完整答案解析,有助于巩固C++循环基础知识。; 适合人群:准备参加GESP或CSP-J等青少年编程等级考试的学生,具备初步C++编程基础的学习者(如中小学阶段初学者);适用于学习流程控制结构中的循环知识点。; 使用场景及目标:①用于检测对while循环掌握程度,查漏补缺;②辅助教师进行教学测评或学生自我练习;③帮助理解循环执行顺序、条件表达式含义及避免死循环等核心概念; 阅读建议:建议在完成每道题目后对照答案认真分析错误原因,结合代码调试加深理解;尤其注意条件赋值与比较的区别(如k=0)、逻辑非运算的应用及循环变量更新机制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值