vulhub漏洞复现
Apache Shiro 1.2.4反序列化漏洞
输入用户名、密码进行登录,开启burpsuite抓包
工具进行攻击验证,存在漏洞
Apache Shiro 认证绕过漏洞
使用BurpSuite抓取数据包,访问/admin/目录
回显302并跳转到登录页面
构造恶意请求/xxx/..;/admin/,即可绕过权限校验,访问到管理页面:
Apache Shiro 1.2.4反序列化漏洞
输入用户名、密码进行登录,开启burpsuite抓包
工具进行攻击验证,存在漏洞
Apache Shiro 认证绕过漏洞
使用BurpSuite抓取数据包,访问/admin/目录
回显302并跳转到登录页面
构造恶意请求/xxx/..;/admin/,即可绕过权限校验,访问到管理页面:
