浅谈Shiro550受Tomcat Header长度限制影响突破 | Y4tacker's Blog

[Y4tacker]

https://y4tacker.github.io/2022/04/14/year/2022/4/%E6%B5%85%E8%B0%88Shiro550%E5%8F%97Tomcat-Header%E9%95%BF%E5%BA%A6%E9%99%90%E5%88%B6%E5%BD%B1%E5%93%8D%E7%AA%81%E7%A0%B4/

浅谈Shiro550受Tomcat Header长度限制影响突破0x00 写在前面写个shiro相关的东西，还是秉着写出来才能学的更多的理念，当然个人还是不太喜欢贴上整串代码，只是分享思路心得，在很早以前我学习这个只是想弹出计算器，但是后面自己还是更喜欢折腾实战方面的一些构思(虽然没有过)，在实战中我们更希望得到一个有回显的，而不是只是执行一个命令，关于回显最通用的就是去遍历线程对象中获取requ

[whocansee]

这个思路有意思，我正在研究在payload长度限制的情况下如何通过反序列化一次性注入Agent内存马，受到启发了，谢谢师傅

[Y4tacker]

@whocansee 这个思路有意思，我正在研究在payload长度限制的情况下如何通过反序列化一次性注入Agent内存马，受到启发了，谢谢师傅

帮助到师傅就好，当然使用System.setProperty这种应该会更好