shiro key文件
文件 Key shiro
2023-09-11 14:19:27 时间
下面结合实战以及shiro的CookieRememberMeManaer的调用过程,浅谈获取shiro key文件的几种方式。
shiro key文件的获取方式:1结合Dnslog与URLDNS;2利用时间延迟或报错;3结合CookieRememberMeManaer
1结合Dnslog与URLDNS
在进行漏洞探测的时候,一般会使用ysoserial-URLDNS-gadget结合dnslog进检测,其受JDK版本和相关的安全策略影响, 除非存在网络限制DNS不能出网。
通过判断dnslog是否收到对应的请求,判断漏洞是否存在。这是获取key比较实用方法,通过在dnslog域名前加对应key的randomNum,结合对应的dnslog记录,即可获取到应用对应的Shiro key了。
例如下图通过结合Dnslog与URLDNS成果枚举出当前应用的key为kPH+bIxk5D2deZiIxcaaaA==:
2利用时间延迟或报错
结合Dnslog与URLDNS方法有一个前提是DNS能出网。那么在不出网的情况下就需要找一个替代的方案了。结合SQL盲注的思路,可以考虑执行如下代码结合时间延迟进行判断,若系统是linux系统,则睡眠10s:
try{
相关文章
- 简明 Python 教程学习笔记_7_文件操作(os、shutil、pathlib )
- git bash中带空格的文件夹以及文件的处理
- Kafka-查看分片文件内容(分片日志文件存储格式)
- Linux 文件基本属性
- Qt生成ui文件对应的.h和.cpp文件
- Vue - Ant Design Vue 上传组件 <Upload> 阻止默认直接上传的行为,改为手动自行上传文件并携带其他参数(点击后不把文件上传到服务器,而是在“适当时机“去手动提交文件与数据)
- linux中增加swap分区文件的步骤方法
- Apache HttpComponents 文件上传例子
- 《HTML CSS JavaScript 网页制作从入门到精通 第3版》—— 1.2 HTML文件的编写方法
- 《Hadoop MapReduce实战手册》一1.7 HDFS的基本命令行文件操作
- Androlid入门之文件系统操作(三)文件读写
- tee - 从标准输入写往文件和标准输出
- MDF文件损坏,如何恢复?(未解决)
- 高性能文件缓存key-value存储—Redis