本文讨论了银行CTF比赛中的shiro反序列化题目,分析了权限绕过和反序列化漏洞。通过黑盒和白盒测试,发现shiro版本存在CVE-2020-13933漏洞。深入分析源码,确认反序列化点和命令执行漏洞,并成功构造payload执行命令。总结了shiro的知识和反序列化链的构建过程。
完成下面两步后,将自动完成登录并继续当前操作。