下载地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/3/环境配置：web靶机需要恢复到快照3，然后登陆时切换用户为:WEB\de1ay密码:1qaz@WSX，这样后续还有提权步骤，进入目录C:\Oracle\Middleware\user_projects\domains\base_domain，运行startweblogic服务然后我将虚拟机nat网段设置成了和web靶机一样的192.168.111.0/24，然后让web靶机改为自动获取ip，就可以出网了配置信息：DCIP：10.10.10.10OS：Windows2012(64)应用：A

下载地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/3/环境配置：web靶机需要恢复到快照3，然后登陆时切换用户为:WEB\de1ay密码:1qaz@WSX，这样后续还有提权步骤，进入目录C:\Oracle\Middleware\user_projects\domains\base_domain，运行startweblogic服务然后我将虚拟机nat网段设置成了和web靶机一样的192.168.111.0/24，然后让web靶机改为自动获取ip，就可以出网了配置信息：DCIP：10.10.10.10OS：Windows2012(64)应用：A

Fastjson简介Fastjson是Alibaba开发的Java语言编写的高性能JSON库，用于将数据在JSON和JavaObject之间互相转换，提供两个主要接口JSON.toJSONString和JSON.parseObject/JSON.parse来分别实现序列化和反序列化操作。漏洞原理这里没有细说fastjson发序列化的机制，总结起来就是以下内容：反序列化时JSON字符串@type的值指定了要将此JSON字符串实例化为什么对象，在此过程中fastjson调用了setter/getter，其中以get/set开头且满足一下条件都会被调用到：方法名称长度大于等于4非静态方法方法名以ge

Fastjson简介Fastjson是Alibaba开发的Java语言编写的高性能JSON库，用于将数据在JSON和JavaObject之间互相转换，提供两个主要接口JSON.toJSONString和JSON.parseObject/JSON.parse来分别实现序列化和反序列化操作。漏洞原理这里没有细说fastjson发序列化的机制，总结起来就是以下内容：反序列化时JSON字符串@type的值指定了要将此JSON字符串实例化为什么对象，在此过程中fastjson调用了setter/getter，其中以get/set开头且满足一下条件都会被调用到：方法名称长度大于等于4非静态方法方法名以ge

1.漏洞成因为了让浏览器或服务器重启后用户不丢失登录状态，Shiro支持将持久化信息序列化并加密后保存在Cookie的rememberMe字段中，下次读取时进行解密再反序列化。但是在Shiro1.2.4版本之前内置了一个默认且固定的加密Key，导致攻击者可以伪造任意的rememberMeCookie，进而触发反序列化漏洞2.漏洞复现POC：点击查看代码importcom.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;importcom.sun.org.apache.xalan.internal.xsltc.trax.Transfo

1.漏洞成因为了让浏览器或服务器重启后用户不丢失登录状态，Shiro支持将持久化信息序列化并加密后保存在Cookie的rememberMe字段中，下次读取时进行解密再反序列化。但是在Shiro1.2.4版本之前内置了一个默认且固定的加密Key，导致攻击者可以伪造任意的rememberMeCookie，进而触发反序列化漏洞2.漏洞复现POC：点击查看代码importcom.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;importcom.sun.org.apache.xalan.internal.xsltc.trax.Transfo

这次的web有两道比较简单，剩下三道难度比较大，三道题总共一个解。FakeUpload1这个签到题难度，打开发现有个文件上传界面，但是题目意思是假的文件上传，上传一张jpg照片然后点击发现有文件包含接着目录扫描发现flag.php，修改文件包含点的filename=flag.php，burp抓包看到注释中的flagIdentity23访问主页抓包发现返回包中有Identity字段的值然后将Identity字段加入请求包获得地址/A0therhlddenPaGe.php访问改地址得到一个文件上传页面，上传一个jpg木马图片发现有文件包含，然后上传.htaccess文件将目录下jpg文件解析为ph

这次的web有两道比较简单，剩下三道难度比较大，三道题总共一个解。FakeUpload1这个签到题难度，打开发现有个文件上传界面，但是题目意思是假的文件上传，上传一张jpg照片然后点击发现有文件包含接着目录扫描发现flag.php，修改文件包含点的filename=flag.php，burp抓包看到注释中的flagIdentity23访问主页抓包发现返回包中有Identity字段的值然后将Identity字段加入请求包获得地址/A0therhlddenPaGe.php访问改地址得到一个文件上传页面，上传一个jpg木马图片发现有文件包含，然后上传.htaccess文件将目录下jpg文件解析为ph

ysoserialysoserial是一个可以生成反序列化payload的工具，它可以让用户根据自己选择的利用链，生成反序列化利用数据，通过将这些数据发送给目标，从而执行用户预先定义的命令，用法：点击查看代码$java-jarysoserial.jarYSOSERIAL?Usage:java-jarysoserial.jar[payload]'[command]'Availablepayloadtypes:PayloadAuthorsDependencies--------------------------AspectJWeaver@Jangaspectjweaver:1.9.2,commo

ysoserialysoserial是一个可以生成反序列化payload的工具，它可以让用户根据自己选择的利用链，生成反序列化利用数据，通过将这些数据发送给目标，从而执行用户预先定义的命令，用法：点击查看代码$java-jarysoserial.jarYSOSERIAL?Usage:java-jarysoserial.jar[payload]'[command]'Availablepayloadtypes:PayloadAuthorsDependencies--------------------------AspectJWeaver@Jangaspectjweaver:1.9.2,commo