![](https://img-blog.csdnimg.cn/20201014180756780.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
burpsuite
后土轮回台
这个作者很懒,什么都没留下…
展开
-
shiro反序列化
shiro反序列化首先呢,我们要了解shiro反序列化是什么。Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。2016年,网络中曝光1.2.4以前的版本存在反序列化漏洞。漏洞原理Apache Shiro框架提供了一个记住我的功能,这个功能在用户登录成功之后,会生成一个加密后的cookie。其中记住我的RememberMe就是cookie中的key。cookie的值是对相关信息进过序列化,再进行aes加密,再使用base64编码之后形成的。服务端接收cookie值原创 2021-07-20 09:46:07 · 7568 阅读 · 8 评论 -
关于burpsuite在intruder返回包中,对内容进行匹配
关于burpsuite在intruder返回包中,对内容进行匹配在渗透测试中,有些时候,爆破返回的数据包,长度一致,我们就无法对爆破结果进行筛选判断。但是返回包中的数据如果不同,那么一样可以进行筛选。那么怎么做呢。接下来开始演示流程。演示环境返回包的长度一致,但是一个是返回”原密码错误“,一个返回的是”用户不存在“。所以我们就争对这个做筛选。可以看到,返回的包,长度一致,但是数据不同,那么我们就可以利用这个不同,去筛选不同的返回包。有些同学会问,那直接输入汉字可以吗?答案是不可以的,那么我原创 2021-03-03 15:08:59 · 4004 阅读 · 1 评论