Shiro 可视化利用工具

最新推荐文章于 2025-04-03 16:15:01 发布
最新推荐文章于 2025-04-03 16:15:01 发布
阅读量2.2k 收藏 4
点赞数
分类专栏: 网络渗透 文章标签: 安全 安全漏洞 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_36759934/article/details/118634185
版权

ShiroExploit

Shiro 可视化利用工具(beta

免责声明

该项目仅供合法的渗透测试以及爱好者参考学习,请各位遵守《中华人民共和国网络安全法》以及相应地方的法律,禁止使用该项目进行违法操作,否则自行承担相关责任

目前已实现:

  1. 支持密钥爆破以及 CBC/GCM 两种加密模式
  2. 可修改特征头,可进行 GET/POST 发包,可选择对应的 Content-Type
  3. 支持检测利用链是否可用(Tomcat)
  4. 支持命令执行回显(Tomcat)
  5. 支持多版本 jar ,目前依赖中 CommonsBeanutils1 为 1.9.2 版本,CommonsBeanutils1_183 为 1.8.3 版本(后续会增加更多不同版本的利用链)
  6. 支持 Payload 输出模式,开启后工具的 payload 都会进行输出
  7. 冰蝎3内存马注入
  8. 支持 http/socks 代理,在设置中可设置代理
  9. 支持自定义 header 功能,因为有的场景下需要特定header才会回显 deleteMe ,否则会出现检测不到的情况,在设置中可进行自定义header

暂未实现

  1. 冰蝎3内存马注入、哥斯拉内存马注入、reGeorg内存马注入
  2. Weblogic组件部分利用
  3. 特征修改
  4. 文件上传功能

利用效果:

参考

感谢前辈们的优秀文章和优秀项目

冰蝎: https://github.com/rebeyond/Behinder

shiro_attack: https://github.com/j1anFen/shiro_attack

内存马注入思路: https://mp.weixin.qq.com/s/r4cU84fASjflHrp-pE-ybg

攻防打点|Shiro漏洞利用大全【附工具
jijisaq的博客
04-22 5746
这两款工具的使用方法,输入存在的shiro的url,点击爆破密钥,找到密钥后点击爆破利用链及回显即可。如果想要命令执行,点击命令执行,输入命令点击执行即可 有key无链的情况下可以尝试使用shiro_tool工具进行利用 使用方法:java -jar shiro_tool.jar https://xx.xx.xx.xx。在打点中有一大堆的目标,使用手工一个一个判断是不现实的,所以我们需要借助工具进行探测,如一些web指纹识别工具。学习效率低,学不到实战内容,花几千、上万报机构没有性价比。
Shiro 550、721
enhengzZ的博客
02-10 3848
Shiro 550 反序列化漏洞存在版本:shiro <1.2.4,产生原因是因为shiro接受了Cookie里面rememberMe的值,然后去进行Base64解密后,再使用aes密钥解密后的数据,进行反序列化。 构造该值为一个cc链序列化后的值进行该密钥aes加密后进行base64加密,反序列化payload内容后就可以命令执行 环境配置 在vulhub获得shiro的镜像 docker cp shirodemo-1.0-SNAPSHOT.jar ~/ 导入到idea 另一种方法: https:/
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1
shiro 用法
比你优秀的人比你还要努力
06-21 2545
最近在做项目的时候需要用到shiro做认证和授权来管理资源 在网上看了很多文章,发现大多数都是把官方文档的简介摘抄一段,然后就开始贴代码,告诉你怎么怎么做,怎么怎么做 相信很多小伙伴即使是跟着那些示例代码做完配完,并且成功搭建,估计也是一头雾水,可能会不理解,为什么要这么做 本人也是在看了大量文章之后,然后又自己动手搭了一便,得出如下使用的感悟,特此分享给大家 依照程序,我要在这里对...
shiroshiro反序列化漏洞综合利用工具v2.2(下载、安装、使用)
最新发布
小王的技术库
04-03 558
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等。④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking。③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现。③常见协议解析(HTTP、TCP/IP、ARP等)④等保简介、等保规定、流程和规范。③网络安全运营的概念。
探索ShiroExp:一款强大的Shiro综合利用工具
gitblog_00090的博客
08-16 1100
探索ShiroExp:一款强大的Shiro综合利用工具 项目地址:https://gitcode.com/gh_mirrors/sh/ShiroExp 在网络安全的世界里,Shiro框架的安全性一直备受关注。今天,我们要介绍的是一款专为Shiro框架设计的综合利用工具——ShiroExp。这款工具不仅功能强大,而且操作简便,是安全研究人员和渗透测试人员的得力助手。 项目介绍 ShiroExp是一款...
Shiro 反序列化漏洞综合利用工具安全测试的得力助手
gitblog_09814的博客
10-28 457
Shiro 反序列化漏洞综合利用工具安全测试的得力助手 【下载地址】Shiro反序列化漏洞综合利用工具 本仓库提供了一个名为 `shiro_attack_by J1anfen` 的资源文件,该工具是一个针对 Shiro 反序列化漏洞的综合利用工具。通过该工具,用户可以方便地进行 Shiro 漏洞的检测、修复验证等操作 ...
深入解析Shiro框架及其权限管理工具应用
此外,还有一些独立的管理控制台,可以用来可视化地管理Shiro安全配置,如角色、权限和用户信息等。 最后,【压缩包子文件的文件名称列表】中的“permission_shiro1110 - 副本”可能是一个与Apache Shiro相关的...
Java代码资源分享:Redis与Shiro集成及管理工具
从提供的文件信息中,我们可以得知这些文件包涉及到的是Java相关技术栈中的资源管理,具体包括Redis缓存数据库、Shiro安全框架以及Redis Desktop Manager可视化工具。接下来将详细解说这些技术点: 1. Redis数据库 ...
java_ssm基于java的可视化高校公寓管理系统vue毕业论文.doc
08-06
可视化高校公寓管理系统是一款基于Java的现代化管理工具利用了SSM框架(Spring、SpringMVC、MyBatis)和MySQL数据库来实现高效的数据管理和信息处理。本文将详细探讨该系统的关键技术和实现方法。 首先,SSM框架...
java基于BS结构下的OA流程可视化的研究与实现(源代码+lw).rar
03-26
这些引擎提供了API和图形化工具,允许开发者定义和管理流程模型,并将其可视化展示。 在“Java基于BS结构下的OA流程可视化”项目中,源代码可能包含以下关键部分: 1. **前端界面**:通常使用HTML、CSS和JavaScript...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
apche shiro漏洞检测和利用工具
07-30
Shiro命令执行工具 V1.0 提供默认Key的查询 摘取xray高级版 xray利用链 100+个KEY已注释!!!! 声明:本工具仅供学习使用,禁止任何用于非法途径,如果使用该工具参与非法活动与本人无任何关系,本人不承担任何责任!
ShiroExploit-Deprecated:Shiro550Shiro721一键化利用工具,支持多种回显方式
03-21
2019.11.9更新: 由于当初作者开发时能力有限,导致工具本身存在着重重和问题矛盾等多重矛盾。目前有很多其他的优秀工具提供了对shiro检测/利用更好的支持(如更好的回显支持,更有效的小工具与直接支持内存外壳等),此工具当前已相形见绌。请各位移步其他更优秀的项目,感谢各位的使用。 2019.9.20更新: 对回显方式进行了一次更新,希望现在能好用一点 2020.9.12更新: 很多回显方式在本地测试OK,但是在实际环境中却不行,这个问题我不知道该怎么解决,希望有师傅可以指导下或者一起讨论下。 ShiroExploit 支持对Shiro550(硬编码秘钥)和Shiro721(Padding Oracle)的一键化检测,支持多种回显方式 使用说明 初步:按要求输入要检测的目标URL和选择突破类型 Shiro550提供rememberMe Cookie, Shiro721需要提供一个有
ShiroScan:Shiro RememberMe 1.2.4反序列化入侵图形化检测工具Shiro-550)
03-18
Shiro反序列化检测工具 ShiroScan用于检测存在四郎反序列化漏洞的关键值。有三种方式进行检测,第一种是利用URLDNS进行检测,第二种利用命令执行进行检测,第三种使用SimplePrincipalCollection序列化后进行检测(XCheck ,即X光检查)。 功能简介 默认DNSLOG 选择后会调用dnslog.cn的接口,生成一个域名,进行检测后,结果会输出在结果区域。 选择该选项时, dnslog.cn卡顿,正在从dnslog.cn获取dnslog.cn ,并显示。 自定义DNSLOG 需要自己输入一个dnslog地址,进行检测后去输入的dnslog平台去查看结果 使用URLDNS 利用URLDNS进行检测。 参考: : 使用有效载荷 通过执行ping命令来检测。 使用XCheck 通过使用SimplePrincipalCollection序列化来进行检测,key正
关于shiro利用工具玄学的问题
三天不打上房揭瓦的博客
07-01 642
声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。
探索安全边界:Shiro RCE漏洞利用工具——`shiro_rce_exp`
gitblog_00081的博客
06-15 421
探索安全边界:Shiro RCE漏洞利用工具——shiro_rce_exp shiro_rce_expShiro RCE (Padding Oracle Attack)项目地址:https://gitcode.com/gh_mirrors/sh/shiro_rce_exp 在这数字化的时代,安全是我们不能忽视的关键因素。今天,我们要向大家介绍一个开源项目:shiro_rce_exp,这是一个专门...
Java框架Shiro、漏洞工具利用、复现以及流量特征分析
xt350488的博客
08-23 838
博客主页:Shiro(Apache Shiro)是一个强大且灵活的开源安全框架,专为Java应用程序提供安全性解决方案。它由Apache基金会开发和维护,广泛应用于企业级应用程序和Web应用程序中。Shiro的设计目标是简化应用程序的安全性配置和开发过程,提供易于使用的API和丰富的功能。本文主要介绍了Java框架Shiroshiro工具的流量特征,以及漏洞的复现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞扬的浩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值