渗透测试实战-shiro反序列化漏洞
作者:液体剑 | 发布时间: | 更新时间:
工具下载:
https://pan.pigsec.cn/s/9mGNho
sqo1s1
鹰图语法搜索shiro漏洞特征的站点
找到一个管理系统
勾上记住我,登录后burp抓包查看
Shiro反序列化漏洞存在特征,在返回包的Set-Cookie中存在rememberMe=deleteMe 字段
直接上工具,爆破出指定秘钥
命令执行
原本到这我就收工了,可是无意中又发现了几个相同平台的站点
试了一下,果然存在通杀
找到一个管理系统
勾上记住我,登录后burp抓包查看
Shiro反序列化漏洞存在特征,在返回包的Set-Cookie中存在rememberMe=deleteMe 字段
直接上工具,爆破出指定秘钥
命令执行
原本到这我就收工了,可是无意中又发现了几个相同平台的站点
试了一下,果然存在通杀