05 2021 档案
摘要:1、漏洞复现 一次内部测试发现某内网应用引用的shiro版本已是1.7.1,仍存在反序列化漏洞。于是使用shiro反序列化工具验证,确实存在反序列化漏洞,通过猜解出shiro key(即RememberMe cookie AES加密的密钥),构造恶意payload反弹shell获取服务器权限。 2、
阅读全文
摘要:简介 原文先发布在freebuf:https://www.freebuf.com/sectool/268971.html 本项目所有内容仅作为安全研究和授权测试使用, 相关人员对因误用和滥用该项目造成的一切损害概不负责 在攻防对抗中信息收集是后续所有渗透测试的基础与关键,从公司信息、域名、子域名、C
阅读全文
