源码部署
这种方法相对复杂,如果不需要分析源码直接用docker就行
前置条件:Maven + Ideal + Tomcat
- 下载方式1:https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4,然后将文件夹导入ideal
- 下载方式2:将
shiro\samples\web目录导入ideal打开
git clone https://github.com/apache/shiro.git && cd shiro
git checkout shiro-root-1.2.4
任选其一即可
编辑shiro/samples/web目录下的pom.xml,将jstl的版本修改为1.2
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>jstl</artifactId>
<version>1.2</version>
<scope>runtime</scope>
</dependency>
在IDEA中导入mvn项目,并配置tomcat环境。
选择sample-web项目,然后点击运行,会自动打开浏览器访问页面
ideal配置tomcat利用的是将网页源码添加到本地tomcat的webapps文件夹下,用的还是本地的tomcat服务器
docker部署
docker pull gqleung/cve-2016-4437
docker run --name shiro-cve-2016-4437 -p 8080:8080 gqleung/cve-2016-4437
或者安装vulnhub和docker-compose,直接docker-compose up -d
参考
- Shiro反序列化漏洞笔记一(原理篇)
- Shiroの起始篇(环境搭建+原理分析)
