一次特殊的shiro以及Bypass Waf

0x01 背景介绍某企业的攻防演练，通过fofa找到该单位某系统，登陆界面进行测试，在返回包中发现了比较奇怪的cookie字段，remember-me,看到该字段推断大概率是shiro，被人为修改了cookie字段的默认值。0x02 工具修改目前用的比较多的shiro工具像shiro_attack、

Shiro反序列化漏洞0-->1

0x01 环境搭建快速搭建：直接下载：https://codeload.github.com/apache/shiro/zip/shiro-root-1.2.4修改samples/web目录下的pom.xml文件，修改jstl版本为1.2，添加commons-collections4依赖 &