之前在Shiro反序列化中为了演示全部都手动添加了CommonsCollections的依赖，其实Shiro中自带的依赖就可以构造一条完整的利用链。

# 基于全局全局存储获取Request 和 Response 对象

Reference：

• 基于全局储存的新思路 | Tomcat的一种通用回显方法研究 (qq.com)
• Java Web代码执行漏洞回显总结 | l3yx's blog

不寻求改变代码流程，而是通过寻找 Tomcat 全局存储的 Request 或 Response 对象，来写入命令执行的结果。

Reference：

• 基于全局储存的新思路 | Tomcat的一种通用回显方法研究 (qq.com)

如题。

# Tomcat内存WebShell

Reference：

• Tomcat中一种半通用回显方法

• 基于tomcat的内存 Webshell 无文件攻击技术

这种方法需要获取 Request 和 Response 对象（具体方法可以参考上一篇文章或者是Reference中的文章），再通过动态注册filter，完成一个持久性Tomcat WebShell。

# 基于Tomcat Response对象

Reference：

• Tomcat中一种半通用回显方法 - 先知社区 (aliyun.com)

通过初始化 ThreadLocal 存储的 Request 和 Response 对象，再用反射获取对象，最后写入命令执行后的回显。

在Shiro反序列化中，由于Tomcat类加载的问题（classpath不同）会导致无法加载Transformer数组的问题，最近看到了利用TemplatesImpl类来改造CC6，绕过了使用Transformer数组的问题；在无法出网使用JRMP的时候，这条Gadget巧妙地化解了这个难题。

Shiro漏洞复盘系列--1.2.4版本产生的反序列化安全问题。（Shiro-550）

Shiro漏洞复盘系列--1.6.0版本以下的权限绕过复现分析。（CVE-2020-13933）

Shiro漏洞复盘系列--1.5.3版本以下的权限绕过复现分析。（CVE-2020-11989）