shiro(Java安全框架)

指纹识别

已知指纹:若依CMSTIMO后台管理系统

BP抓包:在登录界面勾线记住密码,抓包查找remeberMe字段

 

漏洞描述

Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-meCookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。

https://blog.csdn.net/qq_41832837/article/details/109064636

 

fastjson

1.2.24反序列化导致任意命令执行漏洞

posted @ 2021-11-10 17:16  天才小2b  阅读(245)  评论(0编辑  收藏  举报