4.1K Star 16.9K Fork 6.6K

GVP铭飞 / MCMS

 / 详情

MCMS存在命令执行漏洞【shiro】

已完成
创建于  
2022-01-10 14:20

MCMS 存在命令执行漏洞

审计过程

在配置文件中 src/main/resources/application.yml 写死了 shiro 的密钥,存在反序列化漏洞,最终可命令执行

image-20220109011116811

效果演示

本地搭建好环境

image-20220109011523332

下载利用工具:https://github.com/j1anFen/shiro_attack

image-20220109011551054

修改密钥为写死的密钥,使用CB1链,打Tomcat回显,可以看到,已经命令执行成功

image-20220109011800674

评论 (1)

lz2y&r2 创建了任务
铭飞 任务状态从 待办的 修改为已完成
铭飞 任务状态从 已完成 修改为进行中
展开全部操作日志

感谢对开源产品的关注与支持,本月会全部同步更新,会在文档强调开发者修改key

铭飞 任务状态从 进行中 修改为已完成

登录 后才可以发表评论

状态
负责人
里程碑
Pull Requests
关联的 Pull Requests 被合并后可能会关闭此 issue
分支
开始日期   -   截止日期
-
置顶选项
优先级
参与者(2)
542665 mingsoft 1578927126
Java
1
https://gitee.com/mingSoft/MCMS.git
git@gitee.com:mingSoft/MCMS.git
mingSoft
MCMS
MCMS

搜索帮助