JAVA shiro反序列漏洞

1.使用shiro_tool.jar工具

(1)利用java环境下的 shiro_tool.jar工具进行漏洞利用,在所在文件夹使用cmd,并执行

java -jar shiro_tool.jar http://120.77.253.209:32214/

输入1,反弹shell

(2)接着可以,x=ls,输入命令了

2.利用burp插件

(1)在burp里面导入插件shiroPoc-0.5-SNAPSHOT-jar-with-dependencies.jarimage-20210916102047443

image-20210916102248422

image-20210916102404830

(2)接下来就可以scan了

image-20210916102451390

主要关注红色高危信息

image-20210916102712473

也可以使用payload,

image-20210916102625804

可以选择cmd执行命令

image-20210916102904443

(3)放到重放模块(方便执行),点击generate shiro payload就可以自动添加payload,并执行cmd

image-20210916103029136

posted @ 2021-11-29 15:09  7omss  阅读(569)  评论(0)    收藏  举报