名称:记一次shiro反序列化的利用出处:巡安似海钩子:java反序列化&内网渗透shiro框架介绍Apache Shiro是一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会...
01月30日28 views评论payload
反序列化
GW某系统的shiro反序列化利用到内网渗透
01月30日28 views评论payload
反序列化
01月30日28 views评论payload
反序列化
记一次shiro绕waf的记录
日常渗透项目,9月初扫描出一个shiro漏洞且可以成功利用,但是非目标资产,一个月后确认了是目标资产,再次利用时发现上了waf了,最终成功绕过。过程第一次利用很顺利,第二次发现shiro key还是可...
01月30日180 views评论burp
shiro
记一次曲折的Getshell过程
信息收集在一次授权渗透测试项目中,访问目标站点,找到其后台登录页面,对源码进行分析,确定是某cms对网站进行分析,在数据包中发现_rememberMe等字段,惊喜!惊喜!惊喜!幸运女神我爱你——存在s...
01月30日96 views评论getshell
数据包
批量ShiroKey检测爆破工具 shiro_killer
一、工具介绍一款批量ShiroKey检测爆破工具。单个目标爆破时间短,多目标并发检测平均速度更快,检测准确率高,内置大量已公开KEY且可自行拓展。二、安装与使用1、在项目文件夹使用 go build ...
01月29日28 views评论shiro
爆破工具
shiro漏洞批量扫描 -- ScanShiro
===================================免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负...
01月22日148 views评论java
工具
实战|记一次前台任意文件下载漏洞挖掘
文章中所涉及漏洞已交给相关漏洞平台1、起因日常闲逛,翻到了某后台系统先是日常手法操作了一番,弱口令走起admin/123456 yyds!U1s1,这个后台功能点少的可怜,文件上传点更是别想不过那个备...
01月13日54 views评论shiro
任意文件下载漏洞
工具| 批量Shiro反序列化Key扫描
工具介绍一款批量ShiroKey检测爆破工具,单个目标爆破时间短,多目标并发检测平均速度更快,检测准确率高,内置大量已公开KEY且可自行拓展安装使用在项目文件夹使用 go build&nbs...
01月10日151 views评论shiro
反序列化
原创 | JavaWeb中的权限控制——Apache Shiro框架
点击上面文字添加关注!推荐指数★★★★★01ApacheShiro概述ApacheShiro是Java的一个安全框架,主要用于处理身份认证、授权、企业会话管理和加密等。与SpringSecurity一...
01月08日2 views评论manage
shiro
脚本小子的良心-高频次shiro漏洞的利用&源码详细分析&关于shiro漏洞打法
关于shiro简介哈哈,我荔枝以后公众号只发发有意义有价值对各位新人有帮助的文章,今天就简单过一过shiro的基本内容吧。我们今天的靶场以vulhub为准,如果大家想复现学习的话,就拿vulhub去练...
01月02日96 views评论spring
反序列化
Shiro反序列化无法加载数组类
在Shiro反序列化中,使用CommonsCollections6生成EXP会利用失败,从Catalina日志可以看到反序列化失败,提示Unable to load class named&...
12月31日24 views评论name
反序列化
Shiro框架批量Key爆破
批量对存在Shiro框架的目标爆破Key。对于任何版本的Shiro框架,只要Key泄露了,就依旧存在漏洞。使用教程-f 批量目标路径 (default "target.txt")-fk key文件路径...
12月20日622 views评论default
shiro
工具 | Shiro一把梭综合利用漏洞链
功能shiro一把梭工具,该轮子主要有三大功能如下:默认密钥爆破利用SimplePrincipalCollection进行检测利用dnslog进行检测,以解决无回显rememberMe。使用的是dns...
12月20日126 views评论公众号
注入
31