1.实现weblogic回显的反序列化代码会非常大,导致生成的rememberMe的cookie值很长,记得把内存马的代码放在post body中,减少cookie的大小。 2.如果使用weblogic利用链打不成功,那可能是目标weblogic更新了补丁,需要换一个较新的POC,实在不行,如果服务器的JDK版本低于1.8.191,可以用jndi出网的方法反弹shell。 3.上述回...
1.实现weblogic回显的反序列化代码会非常大,导致生成的rememberMe的cookie值很长,记得把内存马的代码放在post body中,减少cookie的大小。 2.如果使用weblogic利用链打不成功,那可能是目标weblogic更新了补丁,需要换一个较新的POC,实在不行,如果服务器的JDK版本低于1.8.191,可以用jndi出网的方法反弹shell。 3.上述回...
在Weblogic下针对Shiro反序列化漏洞,在无直接利用链的情况下获取权限的方法主要是借助Weblogic中间件自身的漏洞链。具体方法如下:利用Weblogic的Coherence组件漏洞:当Shiro组件部署在Weblogic中间件上时,可以尝试利用Weblogic的Coherence组件漏洞链进行攻击。例如,CVE20202555、CVE20202883、CVE202014756、CVE2021...
首先,搭建了一个部署于Weblogic下的Shiro网站应用,使用了从GitHub上获取的samples-web-1.2.42.war包,并通过Weblogic的部署流程完成。确保在“控制”选项卡下选择了“为所有请求提供服务”,环境搭建即告成功。利用Weblogic Coherence组件的利用链,如CVE-2020-2555、CVE-2020-2883、CVE-2020-14756、CVE...
Weblogic上的shiro漏洞利用工具介绍 工具介绍 日常项目中,可能会碰见部署在weblogic上的shiro,所以先写了这个生成攻击payload的小Demo,方便后面使用。但目前只支持无回显命令执行,后续回显、内存马功能后面出差后再写。 利用支持 「*」CVE_2022_2883_ShiroChain_Linux「*」CVE_2022_2883_ShiroChain_Win...
一些朋友可能只关注了HTTP请求方法随机化的问题,但是对于tomcat,将HTTP请求方法置空也是可以正常发包并返回命令执行结果,这种畸形数据包在经过waf设备会被放行,因为waf设备解析不了。这种绕过方法与中间件有关,在Weblogic中间件下不适用。 Shiro数据包添加脏数据 ...
至于为什么要选择shiro反序列化呢,不讲weblogic呢? 因为我上次有幸参与金鸡电影节的临时安全负责人,具体我就不细说了。当时是内部涉及到shiro反序列化漏洞。 准确的来说是Shiro<1.2.4-RememberMe反序列化漏洞。而它也被称为Shiro 550反序列化漏洞。 细品细品 ...
weblogic历史漏洞2024-11-146.JBOSS漏洞复现2024-11-167.Struts2漏洞复现2024-11-218.Thinkphp漏洞复现2024-11-229.FastJson漏洞复现2024-11-25 10.Shiro 漏洞复现2024-11-26 收起 Shiro 漏洞复现shiro是什么?ApacheShiro是一个灵活且全面的Java安全框架,它为现代应用程序提供了认证、授权、加密和会话管理等核心安全...
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat、WebLogic),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。 所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的...
反序列化的入口是shiro gadget是2883 2883通过URLClassLoader定义字节码 字节码中写注册内存shell的代码 filter shell注册在weblogic的内存中先解决shiro+2883 gadget利用的问题,其实就是把之前的2883生成的queue对象拿到shiro中进行AES base64加密就行了byte[] buf = Serializables.serializeToBytes(queue); String key...