第17篇：Shiro反序列化在Weblogic下无利用链的拿权限方法

Part1 前言  Shiro反序列化漏洞虽然出现很多年了，但是在平时的攻防比赛与红队评估项目中还是能遇到。主站也许遇不到Shiro漏洞，但是主站边缘域名、全资子公司的子域名、边缘资产、微信公众号、微信小程序啥的，总能找到。现在遇到的shiro反序列化漏洞也是越来越难了，好多都是别人搞不定的。搞不定的原因要么是key比较偏门，要么是过不了waf防护，要么就是找不到可用的利用链，导致没办法拿权限。 我记得最早在前年测试weblogic反序列化漏洞的时候，突然想到了，如果使用了shiro组件的网站是部署在we...【查看原文】