APP测试之绕过SSL证书检查 往期推荐 Shiro还能这样玩| 再遇某CMS-shiro的小技巧 记一次曲折的渗透 MSF 必知必会 常见内网穿透工具使用总结 原文始发于微信公众号(李白你好):Ju...
06月25日2 viewsapp
cms
shiro评论
JustTrustMe 原理分析
06月25日2 viewsapp
cms
shiro评论
06月25日2 viewsapp
cms
shiro评论
Shiro反序列化初探
0x1 Shiro介绍Shiro是java中执行验证、授权和会话管理的一个安全框架,广泛用于Java网站的开发中。随着Shiro反序列漏洞(CVE-2016-4437)被披露,直到现在在一些hw、渗透...
06月24日代码审计5 viewsjava
log
shiro评论
Java反序列篇-浅谈Shiro利用分析
前言在前面几篇文章中从最容易入手的URLDNS链条,再到CC6,CC1,CC2基本可以说把所有CC链都学完了,其他的CC链的出现也是为了解决黑名单的问题。借用P牛的一段话,我们既然已经有C...
06月23日8 viewsclass
shiro
序列化评论
BurpSuite的被动式shiro检测插件 BurpShiroPassiveScan
项目作者:pmiaowu项目地址:https://github.com/pmiaowu/BurpShiroPassiveScan一、工具介绍BurpShiroPassiveScan 一个希望能节省一些...
06月20日19 viewsandroid
burp
burpsuite评论
Apache Shiro回显poc改造计划
No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必...
06月16日9 viewsapache
java
poc评论
分享一款加强版GUI界面shiro反序列化漏洞利用Tools(附下载)
项目地址https://github.com/j1anFen/shiro_attack免责声明该项目仅供合法的渗透测试以及爱好者参考学习,请各位遵守《中华人民共和国网络安全法》以及相应地方的法律,禁止...
06月15日44 viewscom
github
https评论
神兵利器 | 分享一个加强版图形界面shiro反序列化漏洞利用工具(附下载)
项目地址https://github.com/j1anFen/shiro_attack免责声明该项目仅供合法的渗透测试以及爱好者参考学习,请各位遵守《中华人民共和国网络安全法》以及相应地方的法律,禁止...
06月11日39 viewscom
github
https评论
Shiro漏洞实战
在对某一个IP进行渗透的时候,扫出了许多端口,于是就想着扔到goby里面扫扫,看能不能扫出组件信息或者漏洞,没想到还真扫描出来了。漏洞是shiro的一个漏洞(CVE-2016-4437)于是就有了接下...
06月11日17 viewsapache
cookie
漏洞评论
某次SRC测试之代码审计
一、前言一次挖src遇到的站找了下源码审计,主要几个点是1.shiro权限绕过+spring低版本特性绕拦截器2.鸡肋任意文件下载到任意文件读取3.采用.*绕拦截器的时候遇到很多接口406错误,进而转...
06月10日12 viewsclass
shell
src评论
Shiro框架漏洞总结
Shiro框架漏洞shiro简介Apache Shiro是企业常见的JAVA安全框架,执行身份验证、授权、密码和会话管理。只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致...
06月01日29 viewsapache
序列化
用户评论
shiro综合利用工具
作者:safe6Sec项目地址:https://github.com/safe6Sec/ShiroExp下载地址:https://github.com/safe6Sec/ShiroExp加我好友进20...
06月01日29 viewscom
github
https评论
【HW面试】红队面试分享
问:打点一般会用什么漏洞优先以java反序列化这些漏洞像shiro,fastjson,weblogic,用友oa等等进行打点,随后再找其他脆弱性易打进去的点。因为javaweb程序运行都是以高权限有限...
05月30日85 viewscookie
weblogic
漏洞评论