利用shiro反序列化注入冰蝎内存马 (5)

首先在shiro+tomcat环境下测试成功

image-20211218231915204

image-20211218232529900

然而在springboot+shiro环境中却测试失败了:

image-20211219001424882

3)排错

为了查出这个错误,我选择直接把内存马放入springboot中,自己进行filter注册,debug出其出错点。具体操作如下

image-20211219001714097

启动springboot后可以看到BehinderFilter.java:41行找不到filterConfigs报错

image-20211219004214802

为了进一步查看出错点,在此下好断点步入getDeclaredField

image-20211219004504646

可以看到在2068行进行了filterConfigs的查找

image-20211219004607794

而在此Fileld中确实没有filterConfigs

image-20211219004810681

回到filter代码中,其实,在39行可以看到进行了一次转型,而有可能在springboot中的standardContext此filterConfigs值是继承自父类

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/zzgpzw.html