作者:jweny@360云安全。文章首发于安全客https://www.anquanke.com/post/id/230935放个很好看的图镇楼0x01 漏洞描述Apache Shiro是一个强大且易...
shiro反序列化原生复现及shiro反序列化绕过主机杀软实例
之前有段时间,被shiro困扰的反序列化原理困扰住了,在后面看了很多师傅的文章,大致能复现下最原始的shiro反序列化攻击回显方式;也碰到了有一个某杀软的shiro反序列化,执行不了命令,这里简单记录...
【技术分享】从Java反序列化漏洞题看CodeQL数据流
前言本次实验项目源码来源之前我写的Shiro-CTF的源码https://github.com/SummerSec/JavaLearnVulnerability/tree/master/shiro/s...
如何打造自己的burpsuite自动化武器库(自用分享)
0x01 前言要问搞渗透必须要打开的一款软件是什么,我猜大多数的师傅都会是burpsuite这款软件,burpsuite的功能十分强大,其也集成了一些漏洞扫描的功能,但是在渗透测试过程中,burpsu...
Shiro 历史漏洞分析
什么是Shiro Apache Shiro is a powerful and easy-to-use Java security framework that performs authentica...
【技术干货】 CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过漏洞
xxhzz@PortalLab实验室前言结合自身经历,在使用正则表达式去匹配流量特征时,由于正则表达式中元字符“.”不匹配换行符(n、r)导致一直提取不上所需的流量。而如今,之前踩过的坑却出现在了Ap...
Shiro 历史漏洞分析
什么是Shiro Apache Shiro is a powerful and easy-to-use Java security framework that performs authentica...
浅谈Shiro CVE-2022-32532
0x00 漏洞介绍在Spring-Security的 CVE-2022-22978 漏洞爆出后,陈师傅和我是killer师傅迅速在星球《漏洞百出》给出了实际的案例:在SpringM...
批量ShiroKey检测爆破工具 shiro_killer
项目作者:Peony2022项目地址:https://github.com/Peony2022/shiro_killer一、工具介绍一款批量ShiroKey检测爆破工具。单个目标爆破时间短,多目标并发...
神兵利器 | ShiroKey批量检测爆破工具(附下载)
项目作者:Peony2022项目地址:https://github.com/Peony2022/shiro_killer一、工具介绍一款ShiroKey批量检测爆破工具。单个目标爆破时间短,多目标并发...
第17篇:Shiro反序列化在Weblogic下无利用链的拿权限方法
Part1 前言 Shiro反序列化漏洞虽然出现很多年了,但是在平时的攻防比赛与红队评估项目中还是能遇到。主站也许遇不到Shiro漏洞,但是主站边缘域名、全资子公司的子域名、边缘...
【漏洞风险通告】Apache Shiro身份认证绕过漏洞(CVE-2022-32532)
【一】背景描述Apache Shiro是一个开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。近日,迪普安全研究院团队监测到Apache发布的安全...
32