名称:记一次shiro反序列化的利用
出处:巡安似海
钩子:java反序列化&内网渗透
shiro框架介绍
Apache Shiro是一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。
漏洞利用条件
Apache Shiro( < 1.2.4)框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。那么,Payload产生的过程:命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值 在整个漏洞利用过程中,其中比较重要的是`AES加密的密钥`,如果没有修改`默认的密钥`那么就很容易就知道密钥了,Payload构造起来也是十分的简单。
利用过程
ps:难度低,有手就行
抓包确认目标是否存在`rememberMe`字段
准备在cookie值插入恶意payload,爆破AES加密的密钥 == 2AvVhdsgUs0FSA3SDFAdag== 3AvVhmFLUs0KTA3Kprsdag== 4AvVhmFLUs0KTA3Kprsdag== 5aaC5qKm5oqA5pyvAAAAAA== == bWljcm9zAAAAAAAAAAAAAA== wGiHplamyXlVB11UXWol8g== Z3VucwAAAAAAAAAAAAAAAA== MTIzNDU2Nzg5MGFiY2RlZg== U3ByaW5nQmxhZGUAAAAAAA== 5AvVhmFLUs0KTA3Kprsdag== == == ZUdsaGJuSmxibVI2ZHc9PQ== == r0e3c16IdVkouZgk1TKVMg== bWluZS1hc3NldC1rZXk6QQ== a2VlcE9uR29pbmdBbmRGaQ== WcfHGU25gNnTxTlmJMeSpw== ZAvph3dsQs0FSL3SDFAdag== tiVV6g3uZBGfgshesAQbjA== cmVtZW1iZXJNZQAAAAAAAA== ZnJlc2h6Y24xMjM0NTY3OA== RVZBTk5JR0hUTFlfV0FPVQ== WkhBTkdYSUFPSEVJX0NBVA==
发现存在默认密钥
检测利用链及回显方式
执行命令测试
上马哥斯拉连接
上传fscan_admd64到tmp目录
获取同内网服务器IPc段资产
上传代理配置端口转发(ps:国外时间早上8点)
到这一步,可以横向扫描有无弱口令、未授权访问、查看配置文件等等,要想本机直接访问内网应用数据,需要配置公网ip:port接收数据,这里不再演示,点到为止。
原文始发于微信公众号(巡安似海):GW某系统的shiro反序列化利用到内网渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论