ShiroAttack2：针对Shiro反序列化漏洞的安全研究工具

ShiroAttack2：针对Shiro反序列化漏洞的安全研究工具

ShiroAttack2 shiro反序列化漏洞综合利用,包含（回显执行命令/注入内存马）修复原版中NoCC的问题 https://github.com/j1anFen/shiro_attack 项目地址: https://gitcode.com/gh_mirrors/sh/ShiroAttack2

项目基础介绍：

ShiroAttack2是一款专为检测Apache Shiro框架中的反序列化漏洞而设计的开源工具。它旨在帮助安全研究人员和系统管理员快速识别并利用Shiro 550漏洞，包括执行回显命令和注入内存马等功能。此项目由SummerSec团队维护，使用Java编程语言实现，支持多种版本的 Commons Beanutils gadget，同时也提供了丰富的自定义选项和代理支持。

新手使用注意事项及解决方案：

1. 环境配置

• 问题: 新用户可能遇到因缺少特定环境或库导致的运行错误。
• 解决方案: 确保JDK版本兼容（推荐使用Java 8或更高版本），并在项目根目录下创建"data"文件夹，内含"shiro_keys.txt"文件，文件需包含正确的Shiro rememberMe密钥。检查是否已正确安装Java，并设置好JAVA_HOME环境变量。

2. 记忆关键词（RememberMe Key）的修改

• 问题: 用户可能因不当操作修改ShiroKey导致应用异常。
• 解决方案: 在尝试修改ShiroKey前，确保备份原有配置，理解操作可能影响生产环境。通过工具提供的功能谨慎操作，并且仅在测试环境中实验。使用内存马方式修改时，需仔细监控应用稳定性。

3. 使用Gadget和Key的爆破利用

• 问题: 初次接触可能对如何有效地使用爆破功能感到困惑。
• 解决方案: 阅读项目文档和README文件，了解不同版本 Commons Beanutils gadget 的使用场景。开始爆破之前，建议先在模拟环境下试验，确定参数设置正确无误。使用时，逐步增加复杂度，从简单的键值开始，逐渐过渡到更复杂的组合。

小贴士：

对于所有操作，特别是涉及实际系统和潜在风险的利用过程，务必遵循合法合规的原则，在受控且合法授权的环境下进行实验。切记，该工具应仅供安全自查与教育训练之用，未经授权对他人系统进行探测或利用是违法的。

通过以上步骤，新用户可以较为顺畅地入手ShiroAttack2项目，同时保持警惕，确保所有操作都在法律与道德的框架内进行。

ShiroAttack2 shiro反序列化漏洞综合利用,包含（回显执行命令/注入内存马）修复原版中NoCC的问题 https://github.com/j1anFen/shiro_attack 项目地址: https://gitcode.com/gh_mirrors/sh/ShiroAttack2