标签：学到 大佬 get 漏洞 权限 打开 序列化 vulmap

事情发生在一周前，日常摸鱼的我照例打开了微信公众号的推送，开始我今天的学习，这时看到一篇文章--屡战屡败屡败屡战，点进去看了看发现了一个通用的cms漏洞

于是打开了最大的同性交友网站进行相应的搜索，果不其然被我找到了

这时就要打开fofa搜批量了，个人觉得还是有授权的稳一点，于是乎搜了一波学校

初步搜索有几百条数据

这里给大家普及一下shiro反序列化的漏洞原理

https://www.cnblogs.com/loong-hon/p/10619616.html

我觉得这位表哥总结的就挺好

下面选一个学校验证吧，既然知道他是shiro550反序列化漏洞，就直接上工具利用了

使用vulmap直接geishell，权限为system权限，提权都不需要了，由于未经允许不能进行内网渗透，只有交洞跑路了

vulmap在GitHub上下载即可

新手发帖，不足之处还请各位大佬指正

标签：学到,大佬,get,漏洞,权限,打开,序列化,vulmap
来源： https://www.cnblogs.com/cphil/p/14356838.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。