最近也是看shiro漏洞比较多，所以自己也在本地复现了一下，拿出来与大家一起分享 0x00 关于Apache Shiro Apache shiro是一个Java安全框架，提供了认证、授权、加密和会话管理功能，为解决应⽤安全提供了相应的API: 认证-⽤用户身份识别，常被 ...

Weblogic 反序列化远程代码执行漏洞 CVE-2019-2725 漏洞描述 2019年06月15日，360CERT监测到在野的Oracle Weblogic远程反序列化命令执行漏洞，该漏洞绕过了最新的Weblogic补丁（CVE-2019-2725），攻击者可以发送精心构造的恶意HTTP ...

——————环境准备—————— 目标靶机：10.11.10.108　　//docker环境 攻击机ip：无所谓 vpsip：192.168.14.222　　//和靶机ip可通 1、 使用shior_tools.jar 直接对目标系统进行检测，检测完毕后会返回可执行操作 ...

目录 前言 一、环境搭建和知识储备 1.1、影响版本 1.2、Docker搭建环境 二、复现过程 2.1、fastjson1.2.24 2.2、fastjson1.2.47 前言 ...

是什么版本都会导致反序列化漏洞。 漏洞工具 一台公网服务器（带有java环境） dns接收网站 ...

Shiro对rememberMe的cookie做了加密处理，shiro在CookieRememberMeManaer类中将cookierememberMe字段内容分别进行序列化、AES加密、Base64编码操作。但是，AES加密的密钥Key被硬编码在代码里，意味着每个人通过源代码都能漏洞描述拿到 ...

Usage：x.py http://xxx.com # coding=utf-8# author:KuuKi# Help: joomla 1.5-3.4.5 unserialize remote c ...

2 Node.js 反序列化漏洞远程执行代码（CVE-2017-5941） 2.1 摘要 2.1.1 漏洞介绍 漏洞名称： Exploiting Node.js deserialization bug for Remote Code Execution 漏洞CVE id ...