ShiroShiro 550漏洞原理Shiro550漏洞原理是Shiro框架提供了一种记住密码(Rememberme)的功能,用户登录成功后会生成经过加密的Cookie值,对Remembe的Cooki...
护网时期来临,红队外网打点实战案例分享
原文作者:hyyrent原文链接:https://forum.butian.net/share/2613 被动扫描识别shiro 使用afrog、Wappalyzer等指纹识别器有时候无法直接识别sh...
原创 | emoji、shiro与log4j2漏洞
点击上方蓝字 关注我吧引言小黄脸emoji几乎每天在聊天的时候都会使用到,在某些waf bypass也会看到它的身影。shiro、log4j2这两个组件应该都不陌生了,在高版本shiro没办法通过sh...
Shiro注入反序列化内存马流程
原文首发在:先知社区https://xz.aliyun.com/news/18263Apache Shiro是一个轻量级 Java 安全框架,核心功能包括:认证、授权和会话管理。 框架存在反序列化设计...
某系统Getshell
免责声明 由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉...
某次211大学的渗透测试经历
文章首发于先知社区,转载请申明来源先知社区重点内容:java代码审计分享前言:每次渗透测试都要进步一点点,欢迎交流学习信息收集信息收集和我前面文章的步骤差不多,这里就不细写了之前的文章:https:/...
炼石计划之50套JavaWeb代码审计(四):有趣的进销存系统
在这面具之下,是你坚强的信念闪石星曜炼石计划之50套JavaWeb代码审计第五套:若依管理系统某版本第六套:任务调度系统第七套:OFCMS正在火热练习阶段ing......并且定期分享ing........
【CTF】第三届京麒杯2025热身赛 web
文章作者:用户huHAzxSdEP 文章来源:https://xz.aliyun.com/news/18125 京麒杯2025热身赛 web Eztest 在phpversion()处修...
某次211大学的渗透测试经历
文章首发于先知社区,转载请申明来源先知社区 重点内容:java代码审计分享 前言:每次渗透测试都要进步一点点,欢迎交流学习 信息收集 信息收集和我前面文章的步骤差不多,这里就不细写了 之前的文章:ht...
红队视角下的域森林突破:一场由Shiro反序列化引发的跨域控攻防对抗
0x00免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学...
Java代码审计鉴权绕过
0x01 鉴权方式 & 审计思路1、目前主流的鉴权方式Interceptor 是一种拦截器,也称之为拦截器链(Interceptor Chain),主要用于拦截请求、响应或处理过程中的某些事件...
实战-从Shiro反序列化到域控
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使...