项目介绍
在每年HW期间,外网打点都少不了Shiro漏洞的身影,本工具主要支持对Shiro反序列化漏洞综合利用,包含(回显执行命令/注入内存马)修复原版中NoCC的问题
项目特点
使用方法
直接使用shiro_attack-{version}-SNAPSHOT-all.jar第三版
反序列化利用链:
CommonsBeanutils1 CommonsBeanutils1_183 CommonsCollections2 CommonsCollections3 CommonsCollectionsK1 CommonsCollectionsK2 CommonsBeanutilsString CommonsBeanutilsString_183 CommonsBeanutilsAttrCompare CommonsBeanutilsAttrCompare 183 CommonsBeanutilsPropertySource CommonsBeanutilsPropertySource_183 CommonsBeanutilsObjectToString ComparatorCommonsBeanutilsObjectToString Comparator_183
回显方式: TomcatEcho SpringEcho
在jar的当前目录下创建一个data文件夹,里面创建一个shiro_keys.txt文件,文件内容是shiro_key。lib目前是CommonsBeanutils依赖的版本
免责声明
本开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任