Shiro rememberMe 在线解密 shiroDecrypt

v1

Java反序列化漏洞 Apache Shiro RememberMe 1.2.4 远程代码执行

工具地址

Shiro rememberMe 在线解密
https://sec.dog/shiroDecrypt.html

说明

有些攻击告警需要排查cookie中remeberMe数据包,是否攻击成功,做了哪些操作。解密原理比较简单,使用常见的AES密钥解密,明文里包含aced0005的magic number即为解密成功

去年做了一个简单的网页版解密工具,源码弄丢了,又重新做了一个,内置100多个key,加入了对象结构化展示的功能,看起来更方便。原理是根据序列化协议,逐字节读取解析,参考了tcalmant/python-javaobj这个项目。ysoserial CommonsBeanutils CommonsCollections等payload都能识别展示出来

java字节码还原代码有些复杂,暂时不在网页上实现。可以下载为.class文件,使用在线版工具javadecompilers
或在本地使用Col-E/RecafKonloch/bytecode-viewer等工具还原成java代码再分析

截图

image.png
识别字节码,下载为class文件
识别字节码,下载为class文件
使用工具将class文件还原为java代码

阅读 3.8k
601 声望
15 粉丝
0 条评论
你知道吗?

601 声望
15 粉丝
宣传栏