- 博客(1)
- 收藏
- 关注
RSS订阅原创 记一次shiro反序列化漏洞验证的坑
记一次shiro反序列化漏洞验证的坑引言原理影响版本特征判断过坑过程发现可疑目标脚本测试继续搞引言工作中接触到shiro反序列化漏洞,看了看原理,原理Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。那么,Payload产生的过程:命令=>序列化=>AES加密=>base64编码=>
2021-04-07 16:39:15
753
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人