ShiroAttack2是一款专注于Apache Shiro框架安全研究的专业工具,专门针对Shiro550反序列化问题进行快速检测和应对。该项目采用JavaFX图形界面,支持多种CommonsBeanutils版本的解决方案,提供命令回显、内存注入等核心功能,帮助安全研究人员在授权环境中进行安全评估和验证。
项目地址: https://gitcode.com/gh_mirrors/sh/ShiroAttack2 Shiro检测界面
核心功能详解
多版本解决方案支持
ShiroAttack2内置了丰富的CommonsBeanutils解决方案,涵盖从CommonsBeanutils1到CommonsBeanutilsString_192s等多个版本。这些解决方案位于src/main/java/com/summersec/attack/deser/payloads/目录下,确保在不同环境中的兼容性和成功率。
智能密钥识别机制
工具支持对Shiro rememberMe密钥进行高效识别,结合多种解决方案进行组合利用。用户只需在jar文件同级目录创建data文件夹,并在其中放置shiro_keys.txt文件,即可启动自动化密钥检测流程。
内存注入技术
通过src/main/java/com/summersec/attack/deser/plugins/目录下的插件系统,ShiroAttack2实现了灵活的内存注入功能。支持多种Webshell类型,包括AntSword、Behinder、Godzilla等主流管理工具。
实战操作指南
环境准备与部署
首先需要克隆项目仓库:gitcode.com/gh_mirrors/sh/ShiroAttack2,然后使用Maven进行构建。确保系统已安装Java 8或更高版本,并配置好JAVA_HOME环境变量。
关键配置文件说明
核心配置文件位于项目根目录的pom.xml,定义了项目依赖和构建配置。加密相关功能实现在src/main/java/com/summersec/attack/Encrypt/目录下,包括CBC和GCM两种加密模式。
安全检测步骤
- 启动工具主界面,加载目标URL信息
- 配置请求参数和代理设置
- 选择适合的解决方案和回显方式
- 执行安全检测和验证操作
- 分析结果并采取相应安全措施
安全使用规范
本工具仅限在合法授权的安全测试环境中使用,严禁用于任何非法目的。使用前请确保已获得目标系统的明确授权,所有操作必须遵守相关法律法规和行业规范。
在进行安全验证时,建议先在隔离的测试环境中进行充分测试,了解工具的各项功能和潜在影响。对于生产环境的测试,务必制定详细的测试计划和应急预案。
通过合理使用ShiroAttack2,安全研究人员可以有效提升对Shiro框架安全风险的认知,帮助企业及时发现和修复潜在的安全问题。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
