Closed AgeloVito closed 4 years ago
默认返回包set-cookie有rememberMe=deleteMe就会探测,和状态码无关,增加了自定义key测试,你看下是否能解决你的问题,如果还不行,如果方便的话,可以提供下环境调试一下。
麻烦提供一下联系方式,方便我提供测试用例
------------------ 原始邮件 ------------------ 发件人: "wyzxxz"<notifications@github.com>; 发送时间: 2020年3月14日(星期六) 晚上8:37 收件人: "wyzxxz/shiro_rce"<shiro_rce@noreply.github.com>; 抄送: "彭强亮"<917077172@qq.com>;"Author"<author@noreply.github.com>; 主题: Re: [wyzxxz/shiro_rce] 当目标响应码是302时的bug (#1)
默认返回包set-cookie有rememberMe=deleteMe就会探测,和状态码无关,增加了自定义key测试,你看下是否能解决你的问题,如果还不行,如果方便的话,可以提供下环境调试一下。
— You are receiving this because you authored the thread. Reply to this email directly, view it on GitHub, or unsubscribe.
find http 302, the target url seems is: https://xxxxx.xxx.cn/index.do 当响应状态码是302时,程序无法继续guess shiro key
建议去掉状态码验证逻辑,强行探测