cyberstrikelab—SEAL
字数 1996 2025-09-01 11:26:11

Apache Shiro漏洞利用与内网渗透实战教学文档

1. 靶机环境概述

  • 目标系统:Windows服务器
  • 发现服务:Apache Tomcat (8080端口)
  • 关键漏洞:Apache Shiro (原错误配置为"shrio")
  • 安全防护:Windows Defender + 火绒杀毒软件
  • 网络架构:双网卡机器,存在多层内网

2. 初始信息收集

2.1 目录扫描发现

http://172.20.20.148:8080/shiro/

2.2 漏洞确认

  • 由于开发人员拼写错误("shrio"而非"shiro"),导致前期渗透困难
  • 最终通过访问正确路径确认Shiro框架存在

3. Shiro漏洞利用

3.1 工具自动化利用

  • 使用自动化工具检测Shiro漏洞
  • 成功获取低权限shell

3.2 内存马注入

http://172.20.20.148:8080/shiro/favicondemo.ico
  • 通过此路径注入内存马
  • 注意:favicondemo.ico是常见的内存马注入点

4. 绕过安全防护

4.1 面临的防护

  • Windows Defender
  • 火绒杀毒软件

4.2 免杀技术

  1. 使用YetAnotherObfuscator工具

    • GitHub项目:https://github.com/0xb11a1/yetAnotherObfuscator
    • 用于对payload进行混淆处理

  2. 两种思路

    • 方法一:对客户端进行免杀处理直接上线
    • 方法二:开启3389端口并添加用户

4.3 具体实施方法

方法一:vshell客户端

  • vshell客户端自带免杀效果
  • 可直接用于建立连接

方法二:绕过net user add限制

  • 参考文章:https://payloads.cn/2021/1230/bypass-av-add-user.html
  • 编译特殊版本的工具
  • 注意:使用土豆(Totoo)开3389端口时引号会受影响,需编写bat脚本执行

4.4 远程桌面连接问题

  • Windows mstsc连接出现黑屏
  • 解决方案:使用kali的rdesktop连接

5. 权限提升与持久化

  1. 关闭Windows Defender
  2. 卸载火绒杀毒软件
  3. 获取Administrator明文密码:Shrio@cslab

6. 内网横向移动

6.1 网络发现

  • 发现目标为双网卡机器
  • 使用fscan进行内网扫描

6.2 代理建立

  • 可选工具:
    • vshell(支持两层代理)
    • stowaway(支持多层代理,更适合复杂内网)

6.3 代理配置技巧

  • 使用Proxifier配置流量走向
  • 为简化配置,可设置整台虚拟机流量走代理
  • 多层代理环境下需设置代理链

7. 第二台内网机器渗透(172.20.30.198)

7.1 目标识别

  • JTBC CMS系统
  • 后台地址:http://172.20.30.198/console/

7.2 弱口令攻击

  • 成功使用凭证:cslab:cslab
  • 进入后台后直接上传webshell

7.3 权限提升

  1. 使用哥斯拉(Godzilla)连接webshell
  2. 发现低权限,寻找SUID文件
  3. 使用find命令提权
  4. 上传nc到第一台机器反弹shell
  5. 写入SSH密钥实现持久访问

8. 第三台内网机器渗透(172.20.30.199)

8.1 端口扫描发现

  • 仅开放1433端口(MSSQL)
  • 172.20.30.198还开放3306端口(MySQL)

8.2 密码复用攻击

  • 从JTBC CMS配置文件中提取凭证:
    • 路径:/xp/www/common/incfiles/const.php
  • 或通过小皮面板获取密码

8.3 数据库登录

  • 使用获取的凭证成功登录MSSQL

8.4 绕过防护

  • 同样存在Windows Defender
  • 上传免杀版土豆开启3389
  • 需再次绕过net user add限制

8.5 连接方式选择

  • 使用vshell的正向客户端(自带免杀)
  • 或使用前述方法添加用户

9. 第四台内网机器

9.1 攻击方法

  • 直接利用永恒之蓝漏洞(MS17-010)
  • 备注:可能为非预期解决方案

10. 工具与资源总结

  1. 漏洞利用工具

    • Shiro漏洞检测工具
    • 哥斯拉(Godzilla) webshell
    • 土豆(Totoo)提权工具

  2. 免杀工具

    • YetAnotherObfuscator
    • vshell客户端

  3. 扫描工具

    • fscan内网扫描器

  4. 代理工具

    • stowaway
    • Proxifier

  5. 参考资源

    • net user add绕过:https://payloads.cn/2021/1230/bypass-av-add-user.html
    • 免杀混淆器:https://github.com/0xb11a1/yetAnotherObfuscator

11. 关键注意事项

  1. 注意路径拼写错误可能导致渗透受阻
  2. 多层内网环境下选择合适的代理工具
  3. Windows Defender和火绒需要优先处理
  4. 不同RDP客户端行为可能不同
  5. 密码复用是内网横向的有效方法
  6. 免杀技术需要根据实际情况调整
Apache Shiro漏洞利用与内网渗透实战教学文档 1. 靶机环境概述 目标系统:Windows服务器 发现服务:Apache Tomcat (8080端口) 关键漏洞:Apache Shiro (原错误配置为"shrio") 安全防护:Windows Defender + 火绒杀毒软件 网络架构:双网卡机器,存在多层内网 2. 初始信息收集 2.1 目录扫描发现 2.2 漏洞确认 由于开发人员拼写错误("shrio"而非"shiro"),导致前期渗透困难 最终通过访问正确路径确认Shiro框架存在 3. Shiro漏洞利用 3.1 工具自动化利用 使用自动化工具检测Shiro漏洞 成功获取低权限shell 3.2 内存马注入 通过此路径注入内存马 注意:favicondemo.ico是常见的内存马注入点 4. 绕过安全防护 4.1 面临的防护 Windows Defender 火绒杀毒软件 4.2 免杀技术 使用YetAnotherObfuscator工具 GitHub项目:https://github.com/0xb11a1/yetAnotherObfuscator 用于对payload进行混淆处理 两种思路 方法一:对客户端进行免杀处理直接上线 方法二:开启3389端口并添加用户 4.3 具体实施方法 方法一:vshell客户端 vshell客户端自带免杀效果 可直接用于建立连接 方法二:绕过net user add限制 参考文章:https://payloads.cn/2021/1230/bypass-av-add-user.html 编译特殊版本的工具 注意:使用土豆(Totoo)开3389端口时引号会受影响,需编写bat脚本执行 4.4 远程桌面连接问题 Windows mstsc连接出现黑屏 解决方案:使用kali的rdesktop连接 5. 权限提升与持久化 关闭Windows Defender 卸载火绒杀毒软件 获取Administrator明文密码: Shrio@cslab 6. 内网横向移动 6.1 网络发现 发现目标为双网卡机器 使用fscan进行内网扫描 6.2 代理建立 可选工具: vshell(支持两层代理) stowaway(支持多层代理,更适合复杂内网) 6.3 代理配置技巧 使用Proxifier配置流量走向 为简化配置,可设置整台虚拟机流量走代理 多层代理环境下需设置代理链 7. 第二台内网机器渗透(172.20.30.198) 7.1 目标识别 JTBC CMS系统 后台地址: http://172.20.30.198/console/ 7.2 弱口令攻击 成功使用凭证: cslab:cslab 进入后台后直接上传webshell 7.3 权限提升 使用哥斯拉(Godzilla)连接webshell 发现低权限,寻找SUID文件 使用find命令提权 上传nc到第一台机器反弹shell 写入SSH密钥实现持久访问 8. 第三台内网机器渗透(172.20.30.199) 8.1 端口扫描发现 仅开放1433端口(MSSQL) 172.20.30.198还开放3306端口(MySQL) 8.2 密码复用攻击 从JTBC CMS配置文件中提取凭证: 路径: /xp/www/common/incfiles/const.php 或通过小皮面板获取密码 8.3 数据库登录 使用获取的凭证成功登录MSSQL 8.4 绕过防护 同样存在Windows Defender 上传免杀版土豆开启3389 需再次绕过net user add限制 8.5 连接方式选择 使用vshell的正向客户端(自带免杀) 或使用前述方法添加用户 9. 第四台内网机器 9.1 攻击方法 直接利用永恒之蓝漏洞(MS17-010) 备注:可能为非预期解决方案 10. 工具与资源总结 漏洞利用工具 Shiro漏洞检测工具 哥斯拉(Godzilla) webshell 土豆(Totoo)提权工具 免杀工具 YetAnotherObfuscator vshell客户端 扫描工具 fscan内网扫描器 代理工具 stowaway Proxifier 参考资源 net user add绕过:https://payloads.cn/2021/1230/bypass-av-add-user.html 免杀混淆器:https://github.com/0xb11a1/yetAnotherObfuscator 11. 关键注意事项 注意路径拼写错误可能导致渗透受阻 多层内网环境下选择合适的代理工具 Windows Defender和火绒需要优先处理 不同RDP客户端行为可能不同 密码复用是内网横向的有效方法 免杀技术需要根据实际情况调整