使用docker -compose up -d拉取环境
本地访问8080端口进行验证,创建成功
使用shiro反序列化漏洞利用工具进行漏洞利用,输入目标网址,点击下一步
选择使用ceye.lo进行漏洞检测
当命令可输入的时候,证明含有该漏洞
在命令行中输入id,显示命令执行成功,但无回显
输入命令touch test创建一个文件
在网站目录下查看,该文件创建成功
打开虚拟机Kali系统,输入命令 nc -nvlp 6666监听6666端口
在shiro反序列化利用工具中选择简便操作,反弹shell,并输入kali机器的ip地址及端口号,fire执行
在kali中及可反弹该网站的服务器shell,并进行回显
在dnslog网站中获取一个dns,并使用kali中回显的shell对其进行ping命令,可以ping通