TypechoJoeTheme

mmzkyl

统计
登录
用户名
密码
/
注册
用户名
邮箱
输入密码
确认密码
搜索到 1 篇与 Shiro 的结果 ———
2021-11-13

VULFOCUS_Shiro 反序列化 (CVE-2016-4437)

VULFOCUS_Shiro 反序列化 (CVE-2016-4437)
随笔2021-11-13 15:29Shiro反序列化应该是大名鼎鼎了,不过由于我太菜了,对于原理的理解也是一知半解不是很懂,所以只记录一下Shiro的指纹特征的识别与CVE-2016-4437的工具利用步骤(手工利用日后再战)2021-11-13 15:32Shiro指纹(个人收集)在登陆的返回包中存在 Set-Cookie: rememberMe=deleteMe (在登陆时尽量勾选上Remember Me选项)在URL中存在Shiro关键词复现靶场靶场链接 利用步骤访问首页 进入登陆界面 随意输入账号密码,然后勾选 Remember Me 提交表单,使用burp suite进行抓包,查看响应信息 通过响应信息确定其为 Shiro 框架之后,直接使用工具尝试进行利用 查看该处是否能够利用 由于此处执行命令无回显信息,所以我采用反弹Shell的方式 在准备接受Shell的机器上开启监听 执行反弹Shell的攻击操作 获取反弹Shell 寻找相应Flag提交即可上传Webshell进行连接由于Shrio自带的Webshell存在一些问题,所以我将其替换成了天蝎的Shell尝试上传...
mmzkyl
2021-11-13

学习笔记

198 阅读
0 评论
2021年11月13日
198 阅读
0 评论

互动读者

  • mmzkyl博主

    评论 7 次 | 文章 60 篇

  • takipçi satın al闲逛

    评论 4 次 | 文章 0 篇

  • SirBer闲逛

    评论 2 次 | 文章 0 篇

  • Egy Best闲逛

    评论 2 次 | 文章 0 篇

标签云