4K Star 13.4K Fork 6.2K

GVP铭飞 / MCMS

 / 详情

MCMS存在命令执行漏洞【shiro】

Done
Opened this issue  
2022-01-10 14:20

MCMS 存在命令执行漏洞

审计过程

在配置文件中 src/main/resources/application.yml 写死了 shiro 的密钥,存在反序列化漏洞,最终可命令执行

image-20220109011116811

效果演示

本地搭建好环境

image-20220109011523332

下载利用工具:https://github.com/j1anFen/shiro_attack

image-20220109011551054

修改密钥为写死的密钥,使用CB1链,打Tomcat回显,可以看到,已经命令执行成功

image-20220109011800674

Comments (1)

lz2y&r2 created任务
铭飞 changed issue state from 待办的 to 已完成
铭飞 changed issue state from 已完成 to 进行中
Expand operation logs

感谢对开源产品的关注与支持,本月会全部同步更新,会在文档强调开发者修改key

铭飞 changed issue state from 进行中 to 已完成

Sign in to comment

Status
Assignees
Milestones
Pull Requests
Successfully merging a pull request will close this issue.
Branches
Planed to start   -   Planed to end
-
Top level
Priority
参与者(2)
542665 mingsoft 1578927126
Java
1
https://gitee.com/mingSoft/MCMS.git
git@gitee.com:mingSoft/MCMS.git
mingSoft
MCMS
MCMS

Search