Shiro反序列化工具——ShiroAttack2

最新推荐文章于 2025-11-13 09:52:34 发布
原创 最新推荐文章于 2025-11-13 09:52:34 发布 · 1.1w 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #web安全

本文介绍了Shiro反序列化漏洞的综合利用工具,包括命令执行和注入内存马功能。该工具修复了NoCC问题,并提供多种CommonsBeanutils版本的支持。用户可以自定义请求头,进行key爆破和修改。同时,文章指出4.5版本由于DFS算法导致的性能问题,建议手动尝试利用。

文章目录

前言

      shiro反序列化漏洞综合利用,包含(回显执行命令/注入内存马)修复原版中NoCC的问题。作者为SummerSec。

一、项目地址

     1)https://github.com/SummerSec/ShiroAttack2。
在这里插入图片描述

二、工具特点

  • javafx
  • 处理没有第三方依赖的情况
  • 支持多版本CommonsBeanutils的gadget
  • 支持内存马
  • 采用直接回显执行命令
  • 添加了更多的CommonsBeanutils版本gadget
  • 支持修改rememberMe关键词
  • 支持直接爆破利用gadget和key
  • 支持代理
  • 添加修改shirokey功能(使用内存马的方式)可能导致业务异常
  • 支持内存马小马
  • 添加DFS算法回显(AllECHO)
  • 支持自定义请求头,格式:abc:123&&&test:123

三、使用教程

     1)双击直接使用或者在当前目录中开启cmd,然后输入以下命令:javaw -jar shiro_attack-4.5.6-SNAPSHOT-all.jar等方式,在data文件夹中存在一个shiro_keys.txt的文件,可自行添加key。
在这里插入图片描述

四、已知问题但目前无法解决

     1)有人反馈有些网站4.3版本能打,但4.4和4.5版本不行。排查了一波源码不同点,目前没找到问题所在地方。
     2)4.5版本更新ALLEcho之后,让工具变得“卡”,因为使用DFS算法,本身会有一定的延迟。这是算法本身原因,不可避免。所以4.5版本不建议使用爆破漏洞利用链功能,建议之间手动一个个尝试。

shiroshiro反序列化漏洞综合利用工具v2.2(下载、安装、使用)
小王的技术库
04-03 1358
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等。④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking。③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现。③常见协议解析(HTTP、TCP/IP、ARP等)④等保简介、等保规定、流程和规范。③网络安全运营的概念。
shiro反序列化利用工具-ShiroAttack2(一)
SuperherRo的博客
08-10 2345
shiro反序列化漏洞综合利用,包含(回显执行命令/注入内存马)修复原版中NoCC的问题
【亲测免费】 ShiroAttack2 开源项目使用教程
最新发布
gitblog_01126的博客
11-13 1438
ShiroAttack2 项目的目录结构如下: ``` ShiroAttack2/ ├── docs/ ├── lib/ ├── out/artifacts/shiro_attack2_jar/ ├── src/ ├── target/ ├── .gitignore ├── LICENSE ├── README.md ├── assembly.xml ├── pom.xml └── shiro_
shiro反序列化漏洞学习(工具+原理+复现)
Innocence_0的博客
04-13 1873
工具准备2.冰蝎 C:\Users\ali\Desktop\tools\Behinder_v4.0.63.shiro反序列化 图形化工具4.shiro反序列化 命令行工具一.Shiro-550 CVE-2016-4437序列化:在Java中,把Java对象转换为字节序列(json/xml)的过程叫序列化。反过来,把字节序列(json/xml)恢复为Java对象的过程就叫反序列化Shiro反序列化:Apache。
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1
【亲测免费】 ShiroAttack2 使用教程
gitblog_00686的博客
08-08 1504
ShiroAttack2 是一个针对 Apache Shiro 的 550 及相关漏洞进行快速检测与利用的开源工具。它由 SummerSec 开发,旨在帮助安全研究人员和开发者迅速识别并利用 Shiro 反序列化漏洞,特别是在包含回显执行命令和注入内存马的场景下。此工具优化了对多个 CommonsBeanutils 版本的支持,解决了原始版本中的 NoCC 问题,并加入了记忆关键词自定义、多种利用...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
反序列化利用工具ShiroExploit.V2.51.7z
08-31
反序列化利用工具
shiro反序列化利用工具-ShiroExp(二)
SuperherRo的博客
08-11 836
shiro综合利用工具
shiro反序列化工具,加强版
12-27
在"shiro反序列化工具,加强版"这个主题中,我们主要关注的是Shiro框架中可能存在的反序列化漏洞以及如何利用和防范这些漏洞。 反序列化漏洞是由于程序在接收到网络传输的数据后,将其从二进制流恢复为对象时没有...
ShiroExp-1.3.1-all.jar shiro反序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro反序列化检测工具 我这里是用于搭建攻防演练演示环境用
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
文件内包含内容如下: 1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro反序列化漏洞、暴力破解漏洞修改方法
shiro反序列化测试工具.zip
06-04
shiro反序列化测试工具包,两个使用任意一个即可
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞。
shiro_attack-2.2.jar
12-17
shiro_attack-2.2.jar
shiro反序列化脚本.zip
07-28
标题 "shiro反序列化脚本.zip" 指向的是一个与Apache Shiro安全框架相关的反序列化漏洞利用工具。Apache Shiro是一款广泛使用的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能。然而,在某些版本中,...
Shiro反序列化漏洞复现
kukudeshuo的博客
02-23 1438
Shiro反序列化漏洞复现 Shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 影响范围 Apache Shiro <= 1.2.4 漏洞简介 Shiro反序列化漏洞主要存在Java开发的网站程序中,它是也属于java的反序列化漏洞。特征是响应包存在rememberMe标记,或者人为修改登陆包,在Cookie中rememberMe=deleteMe,同样观察回包是否存在rememberMe标记。如果存在,基本确定采用Shiro框架进行的认证
shiro反序列化利用工具 shiro-attack-4.7.0 550 721 利用工具
04-03
shiro反序列化利用工具 shiro_attack-4.7.0 550 721 利用工具+网络安全 shiro反序列化
shiro反序列化利用工具-ShiroAttack2打不开
03-20
### 关于ShiroAttack2工具无法打开的问题解决方案 如果遇到 **ShiroAttack2** 工具无法正常运行的情况,可以尝试以下几个方面来排查和解决问题: #### 1. 环境依赖检查 确保本地开发环境满足以下条件: - Java Development Kit (JDK) 版本应与工具需求一致。通常建议使用 JDK 8 或更高版本[^3]。 - 如果工具需要特定库文件(如 Apache Commons Collections),需确认这些库已正确加载到项目的 classpath 中。 ```bash java -version javac -version ``` 上述命令可用于验证当前系统的 JDK 安装情况以及版本号是否匹配。 #### 2. 文件权限校验 某些情况下,由于操作系统级别的权限设置可能导致程序无法启动。可以通过调整目标 `.jar` 文件的访问权限解决此问题: ```bash chmod +x ShiroAttack2.jar ``` 执行以上指令赋予可执行属性给指定 JAR 包之后再重新尝试运行。 #### 3. 参数配置错误 部分用户可能因为未按照官方文档指示传入必要参数而导致失败。以下是标准启动方式的一个例子: ```bash java -jar ShiroAttack2.jar --help ``` 通过附加 `--help` 参数查看帮助信息了解具体选项含义及其默认值设定[^4]。 #### 4. 更新至最新版 考虑到原作者可能会修复旧版本中存在的 bug ,所以推荐始终获取最新的发布版本替代原有副本 。前往 GitHub 页面或者其它可信源下载新发行包并替换掉原来的二进制文件后再试一次。 --- ### 提供一段简单的代码片段演示如何生成rememberme cookie字符串 ```python from Crypto.Cipher import AES import base64 def encrypt(plain_text, key): cipher = AES.new(key,AES.MODE_ECB) padded_plaintext=pad_data(plain_text) encrypted_bytes=cipher.encrypt(padded_plaintext) return base64.b64encode(encrypted_bytes).decode('utf-8') # 填充数据函数定义省略... key=b'kPH+bIxk5D2deZiIxcaaaA==' payload='rememberMe=deleteMe; Path=/;' # 自定义载荷内容 cookie_value=encrypt(payload,key) print(f"Generated Cookie Value:{cookie_value}") ``` 注意这里仅为模拟示例实际攻击场景下请勿随意测试以免触犯法律风险[^1]。
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值