Java反序列化漏洞 Apache Shiro RememberMe 1.2.4 远程代码执行
工具地址
Shiro rememberMe 在线解密
https://sec.dog/shiroDecrypt.html
说明
有些攻击告警需要排查cookie中remeberMe数据包,是否攻击成功,做了哪些操作。解密原理比较简单,使用常见的AES密钥解密,明文里包含aced0005的magic number即为解密成功
去年做了一个简单的网页版解密工具,源码弄丢了,又重新做了一个,内置100多个key,加入了对象结构化展示的功能,看起来更方便。原理是根据序列化协议,逐字节读取解析,参考了tcalmant/python-javaobj这个项目。ysoserial CommonsBeanutils CommonsCollections等payload都能识别展示出来
java字节码还原代码有些复杂,暂时不在网页上实现。可以下载为.class文件,使用在线版工具javadecompilers
或在本地使用Col-E/Recaf、Konloch/bytecode-viewer等工具还原成java代码再分析
截图
识别字节码,下载为class文件
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。