shiro_attack工具-shiro反序列化漏洞的快速检测和利用

最新推荐文章于 2025-05-28 17:34:46 发布
最新推荐文章于 2025-05-28 17:34:46 发布
阅读量2.6k 收藏 5
点赞数 6
CC 4.0 BY-SA版权
文章标签: 经验分享 笔记 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59047731/article/details/138911404

shiro反序列化漏洞的快速检测和利用

前言

今天分享一个好用的渗透测试工具,主要是针对shiro框架漏洞的,它可以自动的爆破shiro密钥,同时可以写入大马,本人实战中觉得很好用!!!

工具名称

shiro_attack-4.7.0-SNAPSHOT-all

下载链接

链接:https://pan.baidu.com/s/1vFP21U8Pcyl8DVXxdDXSRQ?pwd=yyds
提取码:yyds

环境准备

注意:使用此工具需要事先准备java环境,java10以上版本缺少javafx-sdk-18.0.2泛型,需要自己手动安装,最好使用jdk1.8版本,如下图

在这里插入图片描述

实战使用

在这里插入图片描述

使用条件,存在shiro框架,明显特征就是rememberme

在这里插入图片描述

后续可以直接选择命令执行

输入命令即可得到信息,这里不再过多赘述。渗透千万条,安全第一条!!!

Shiro反序列化漏洞综合利用工具Shiro Attack使用教程
SHELLCODE_8BIT的博客
10-16 3261
将目标网站输入在目标地址栏中吗,点击爆破密钥,如果发现key,则可以利用
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1
框架漏洞(2)shiro
最新发布
m0_73399576的博客
05-28 906
知识面,决定看到的攻击面有多广。知识链,决定发动的杀伤链有多深。
shiro反序列化工具安装使用
weixin_71090536的博客
01-25 1388
shiro_attack_2.2工具下载链接:链接: https://pan.baidu.com/s/1t8V8UCbupIcczr7sFfYKMg?pwd=975e 提取码: 975ePs:也可在 github 上直接搜索 “shiro反序列化利用”,有诸多工具可供使用。
shiro反序列化利用工具-ShiroAttack2修改版(五)
SuperherRo的博客
09-05 2010
一款针对Shiro550漏洞进行快速漏洞利用工具。 对 @SummerSec 大佬的项目https://github.com/SummerSec/ShiroAttack2 进行了一些改进。
Shiro反序列化漏洞检测及修复(工具分享
热门推荐
weixin_46418540的博客
10-12 1万+
写在前面 这篇博文主要解决于一些朋友为了修复反序列化漏洞,根据某些帖子的内容升级了shiro版本,或者采用了随机生成key的方式后,不知道是否管用。特地写下一篇记录,分享一个检测工具。 我在之前项目中碰到了这个问题,由于shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具ShiroExploit。 在此特别感谢其作者 feihong飞鸿。 下载地址 https://github.com/feihong-cs/S
Shiro反序列化漏洞测试工具使用指南
weixin_34471637的博客
08-27 1892
本文还有配套的精品资源,点击获取 简介:Apache Shiro是一款提供身份验证、授权等安全功能的Java框架。其在处理会话管理时可能会遇到反序列化漏洞,即攻击者通过构造恶意序列化数据执行代码或获取敏感信息。本工具包提供了检测Shiro应用中潜在反序列化漏洞的测试工具,以帮助开发者或安全研究员识别并修复这些安全缺陷,保障应用安全。使用指南包括对序列化与反序列化概念的介绍、...
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
文件内包含内容如下: 1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro反序列化漏洞、暴力破解漏洞修改方法
工具分享 | ShiroScan - Shiro反序列化漏洞检测工具,一键getshell
IT软件汇
09-10 413
ShiroScan是Shiro反序列化漏洞检测工具,一键getshell,可以帮助测试人员快速找出shiro漏洞进行修复,从而避免老板的惩罚。
shiro_attack:shiro反序列化进攻综合利用,包含(回显执行命令注入内存马)
03-11
shiro反序列化进攻综合利用 项目基于javafx,利用shiro反序列化扩展进行回显命令执行以及注入类别内存马 检出唯一密钥(SimplePrincipalCollection)cbc / gcm Tomcat / Springboot回显命令执行 集成公用集合K1 / K2 通过POST请求中defineClass字节码实现注入内存马(Servlet实现参考哥斯拉内存马) resources目录下shiro_keys.txt可扩展键 关于内存马 某些spring环境以jar包启动写shell麻烦 渗透中找目录很烦,经常出现各种写壳浪费时间问题 无落地文件舒服 错误修复 2020.11.08 高低版本base64库不一致,当前使用org.apache.shiro.codec.Base64避免此问题 2020.11.10 修复注入内存马都显示注入成功的错误。 2020.11.23
shiro反序列化测试工具.zip
06-04
shiro反序列化测试工具包,两个使用任意一个即可
javaRMI反序列化漏洞验证工具
08-21
检测javaRMI反序列化漏洞
Weblogic+XML反序列化漏洞检查工具CVE-2017-10271+V1.2
05-21
好用的Weblogic XML 反序列化漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
反序列化漏洞检查工具 Weblogic XML CVE-2017-10271
01-09
好用的Weblogic XML 反序列化漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
shiro_attack_2.2ShiroExploit.V2.51工具,两个工具都在里面,,shiro利用工具,用于
03-17
shiro_attack_2.2ShiroExploit.V2.51工具,两个工具都在里面,,shiro利用工具,用于测试shiro反序列化漏洞工具,很好用,通过命令java -jar ***.jar启动即可
shiro反序列化工具,加强版
12-27
对于安全研究人员渗透测试者,"shiro_attack-4.5.6-SNAPSHOT-all"这个工具可能是用来模拟攻击场景,检测系统是否易受反序列化漏洞影响。它可能包括了生成恶意序列化对象的脚本,或者是一套自动化测试框架,帮助...
shiro_attack_2.1.zip
10-12
在本讨论中,我们将深入探讨"shiro_attack_2.1.zip"这个压缩包所涉及的Apache Shiro反序列化漏洞利用工具,以及如何自动化进行攻击测试。 Apache Shiro反序列化漏洞是由于其在处理用户输入的数据时,没有充分地...
介绍一下人脸识别的发展历史
05-16
人脸识别技术可以追溯到20世纪60年代。那时候,研究人员主要使用基于几何的方法来识别人脸,例如使用特定的几何测量技术来提取面部特征。这种方法的问题在于,它对光照、角度面部表情等因素不敏感,因此无法准确识别所有人脸。 在20世纪80年代,出现了基于模式识别的人脸识别技术。这种技术使用计算机学习算法来训练模型,通过比对人脸图像已知的人脸特征数据库来进行识别。然而,这种方法对于不同的光照、角度面部表情仍然存在一定的识别误差。 随着深度学习技术的发展,人脸识别技术进入了一个新的时代。深度学习技术可以对大量的数据进行训练,从而提高识别的准确性鲁棒性。目前,人脸识别技术已经广泛应用于安防、金融、医疗等领域。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

落樱坠入星野

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值