案例介绍
图1:在一次某市医院小程序渗透测试中,通过数据包rememberMe发现Shiro框架,通过爆破key,发现存在Shiro反序列化漏洞,成功执行命令。该漏洞原理如下:Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。
图2:曾写过的高危组件exp
案例图片
相似案例推荐
其他人才的相似案例推荐
-
内网渗透
这是一次很普通但又很幸运的渗透过程,某次闲来无事跟好兄弟在某
-
内网渗透
这是一次很普通但又很幸运的渗透过程,某次闲来无事跟好兄弟在某
-
内网渗透
开局给你一个登录框,告诉我你的渗透思路?这句经典的面
-
一体化版本发布平台
一体化版本发布平台是一款为了方便项目管理及出包开发的系统,集
-
党政一体化办公平台
统一工作门户:单点登录、千人千面桌面,支持市-县-乡-村四级
-
智慧社区综合治理平台
1 数字底座 1.1 数据治理中心:200+ 数据标签、一
-
渗透测试报告
这是日常工作中的渗透测试报告,作为安全服务工程师这也是最大的
-
渗透测试报告
日常为企业提供渗透测试服务,通过渗透测试报告将风险可视化呈现
-
消防设备管理系统
项目名称:消防设备巡检系统 模块功能:统计看板和智慧大屏实
-
负荷聚合调控平台
此平台用于对接 西北电网负荷调峰平台 用于生成调度计划 ,生
-
K2整定宝(小程序)
这个小程序是配合 K2(是一个立足发电、用电环节 用于继电保
-
K2
K2 是立足发电、用电环节 用于继电保护定值计算服务行业的一
微信接收人才推送
关注猿急送微信平台,接收实时人才推送
接收人才推送
联系需求方端客服