漏洞原理Apache Shiro框架提供了记住密码的功能(rememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然...
shiro反序列化漏洞原理分析以及漏洞复现
扫码领资料获网安教程免费&进群Shiro-550反序列化漏洞(CVE-2016-4437)漏洞简介shiro-550主要是由shiro的rememberMe内容反序列化导致的命令执行漏洞,造成...
『代码审计』ysoserial CB1 反序列化分析
点击蓝字 关注我们 日期:2023-11-14作者:ICDAT介绍:这篇文章主要是对ysoserial CB1反序列化利用链进行分析。0x00 前言最近打了比较多的攻防演练,发现shiro反序列化漏洞...
聊聊攻防渗透中的一些技巧和打法
前言又是一年了。 免责声明: 本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关。 01真假ShiroKey 日常渗透打点经常遇到s...
CVE-2023-46750|Apache Shiro开放重定向漏洞
0x00 前言Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序...
实战攻防-不一样的shiro
前言 某次打点过程中,发现了不一样的shiro利用 资产收集 目标根据给的靶标单位名称,域名、IP进行信息收集,进行常规信息收集 多测绘平台搜索/...
Shiro反序列化漏洞复现(文末领红包封面)
0x0声明 由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人承担,Cyb3rES3c及文章作者不承担任何责任。如有侵权烦请告知,我们将立即删除相关内容并致歉。请遵...
分享一款Shiro Key批量爆破工具(附下载)
1 项目简介 批量对存在Shiro框架的目标爆破Key。 对于任何版本的Shiro框架,只要Key泄露了,就依旧存在漏洞。 特点 速度快 准确率高(几乎无误报) 使用教程 文件说明 target.tx...
eduSRC那些事儿-3(命令执行类+越权逻辑类)
本文对edusrc挖掘的部分漏洞进行整理,将案例脱敏后输出成文章,不包含0DAY/BYPASS的案例过程,仅对挖掘思路和方法进行相关讲解。命令执行类St2命令执行在电量查询手机管理平台,观察到.do或...
shiro框架学习
什么是shiro? Apache Shiro是一个Java 的安全(权限)框架。 主要功能为:用户认证、访问控制、支持会话、单点登录、记住我功能 核心内容 Authentication:身份认证、登录...
【框架安全】CVE 复现&Apache Shiro&Apache Solr漏洞复现
网安教育培养网络安全人才技术交流、学习咨询01中间件列表中间件及框架列表:IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic,JBoos,WebSphere,Jen...
某头部直辖市攻防演练纪实-如何不用0day打下n个点
不可多得的实战好文,建议收藏 前言 在某头部直辖市的攻防演练中,各家安全厂商投入了大量人力物力...而我方基本未做准备,只有小米加步枪,且看如何不用0day如何连下数城 前言 几个月前打了一场某头部直...
32