摘要: 1.漏洞原理Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。那么,Payload产生的过程:命令=》序列化=》AES加密=》base64编码=》RememberMe Cookie值在整个漏洞利用过程中,比... 阅读全文
posted @ 2020-07-16 15:33 我要变超人 阅读(8424) 评论(0) 推荐(0) 编辑