Apache Shiro漏洞利用与内网渗透实战教学文档<\/h1>

1. 靶机环境概述<\/h2>
目标系统：Windows服务器<\/li>
发现服务：Apache Tomcat (8080端口)<\/li>
关键漏洞：Apache Shiro (原错误配置为"shrio")<\/li>
安全防护：Windows Defender + 火绒杀毒软件<\/li>
网络架构：双网卡机器，存在多层内网<\/li> <\/ul>
2. 初始信息收集<\/h2>

2.1 目录扫描发现<\/h3>
http:\/\/172.20.20.148:8080\/shiro\/
<\/code><\/pre>
2.2 漏洞确认<\/h3>

由于开发人员拼写错误("shrio"而非"shiro")，导致前期渗透困难<\/li>
最终通过访问正确路径确认Shiro框架存在<\/li>
<\/ul>
3. Shiro漏洞利用<\/h2>
3.1 工具自动化利用<\/h3>

使用自动化工具检测Shiro漏洞<\/li>
成功获取低权限shell<\/li>
<\/ul>
3.2 内存马注入<\/h3>
http:\/\/172.20.20.148:8080\/shiro\/favicondemo.ico
<\/code><\/pre>

通过此路径注入内存马<\/li>
注意：favicondemo.ico是常见的内存马注入点<\/li>
<\/ul>
4. 绕过安全防护<\/h2>
4.1 面临的防护<\/h3>

Windows Defender<\/li>
火绒杀毒软件<\/li>
<\/ul>
4.2 免杀技术<\/h3>


使用YetAnotherObfuscator工具<\/strong><\/p>

GitHub项目：https:\/\/github.com\/0xb11a1\/yetAnotherObfuscator<\/li>
用于对payload进行混淆处理<\/li>
<\/ul>
<\/li>

两种思路<\/strong><\/p>

方法一：对客户端进行免杀处理直接上线<\/li>
方法二：开启3389端口并添加用户<\/li>
<\/ul>
<\/li>
<\/ol>
4.3 具体实施方法<\/h3>
方法一：vshell客户端<\/h4>

vshell客户端自带免杀效果<\/li>
可直接用于建立连接<\/li>
<\/ul>
方法二：绕过net user add限制<\/h4>

参考文章：https:\/\/payloads.cn\/2021\/1230\/bypass-av-add-user.html<\/li>
编译特殊版本的工具<\/li>
注意：使用土豆(Totoo)开3389端口时引号会受影响，需编写bat脚本执行<\/li>
<\/ul>
4.4 远程桌面连接问题<\/h3>

Windows mstsc连接出现黑屏<\/li>
解决方案：使用kali的rdesktop连接<\/li>
<\/ul>
5. 权限提升与持久化<\/h2>

关闭Windows Defender<\/li>
卸载火绒杀毒软件<\/li>
获取Administrator明文密码：Shrio@cslab<\/code><\/li>
<\/ol>
6. 内网横向移动<\/h2>
6.1 网络发现<\/h3>

发现目标为双网卡机器<\/li>
使用fscan进行内网扫描<\/li>
<\/ul>
6.2 代理建立<\/h3>

可选工具：

vshell（支持两层代理）<\/li>
stowaway（支持多层代理，更适合复杂内网）<\/li>
<\/ul>
<\/li>
<\/ul>
6.3 代理配置技巧<\/h3>

使用Proxifier配置流量走向<\/li>
为简化配置，可设置整台虚拟机流量走代理<\/li>
多层代理环境下需设置代理链<\/li>
<\/ul>
7. 第二台内网机器渗透(172.20.30.198)<\/h2>
7.1 目标识别<\/h3>

JTBC CMS系统<\/li>
后台地址：http:\/\/172.20.30.198\/console\/<\/code><\/li>
<\/ul>
7.2 弱口令攻击<\/h3>

成功使用凭证：cslab:cslab<\/code><\/li>
进入后台后直接上传webshell<\/li>
<\/ul>
7.3 权限提升<\/h3>

使用哥斯拉(Godzilla)连接webshell<\/li>
发现低权限，寻找SUID文件<\/li>
使用find命令提权<\/li>
上传nc到第一台机器反弹shell<\/li>
写入SSH密钥实现持久访问<\/li>
<\/ol>
8. 第三台内网机器渗透(172.20.30.199)<\/h2>
8.1 端口扫描发现<\/h3>

仅开放1433端口(MSSQL)<\/li>
172.20.30.198还开放3306端口(MySQL)<\/li>
<\/ul>
8.2 密码复用攻击<\/h3>

从JTBC CMS配置文件中提取凭证：

路径：\/xp\/www\/common\/incfiles\/const.php<\/code><\/li>
<\/ul>
<\/li>
或通过小皮面板获取密码<\/li>
<\/ul>
8.3 数据库登录<\/h3>

使用获取的凭证成功登录MSSQL<\/li>
<\/ul>
8.4 绕过防护<\/h3>

同样存在Windows Defender<\/li>
上传免杀版土豆开启3389<\/li>
需再次绕过net user add限制<\/li>
<\/ul>
8.5 连接方式选择<\/h3>

使用vshell的正向客户端（自带免杀）<\/li>
或使用前述方法添加用户<\/li>
<\/ul>
9. 第四台内网机器<\/h2>
9.1 攻击方法<\/h3>

直接利用永恒之蓝漏洞(MS17-010)<\/li>
备注：可能为非预期解决方案<\/li>
<\/ul>
10. 工具与资源总结<\/h2>


漏洞利用工具<\/strong><\/p>

Shiro漏洞检测工具<\/li>
哥斯拉(Godzilla) webshell<\/li>
土豆(Totoo)提权工具<\/li>
<\/ul>
<\/li>

免杀工具<\/strong><\/p>

YetAnotherObfuscator<\/li>
vshell客户端<\/li>
<\/ul>
<\/li>

扫描工具<\/strong><\/p>

fscan内网扫描器<\/li>
<\/ul>
<\/li>

代理工具<\/strong><\/p>

stowaway<\/li>
Proxifier<\/li>
<\/ul>
<\/li>

参考资源<\/strong><\/p>

net user add绕过：https:\/\/payloads.cn\/2021\/1230\/bypass-av-add-user.html<\/li>
免杀混淆器：https:\/\/github.com\/0xb11a1\/yetAnotherObfuscator<\/li>
<\/ul>
<\/li>
<\/ol>
11. 关键注意事项<\/h2>

注意路径拼写错误可能导致渗透受阻<\/li>
多层内网环境下选择合适的代理工具<\/li>
Windows Defender和火绒需要优先处理<\/li>
不同RDP客户端行为可能不同<\/li>
密码复用是内网横向的有效方法<\/li>
免杀技术需要根据实际情况调整<\/li>
<\/ol>