Fetch the repository succeeded.
在配置文件中 src/main/resources/application.yml 写死了 shiro 的密钥,存在反序列化漏洞,最终可命令执行
本地搭建好环境
下载利用工具:https://github.com/j1anFen/shiro_attack
修改密钥为写死的密钥,使用CB1链,打Tomcat回显,可以看到,已经命令执行成功
铭飞
owner
感谢对开源产品的关注与支持,本月会全部同步更新,会在文档强调开发者修改key
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。
Sign in to comment
