【shiro】shiro反序列化漏洞综合利用工具v2.2(下载、安装、使用)

已于 2022-07-07 15:38:03 修改
阅读量2.2w 收藏 52
点赞数 23
分类专栏: # Web攻防及原理 # 网安工具进阶 文章标签: java shiro 反序列化
于 2022-07-01 22:45:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fighting_hawk/article/details/125562498
版权

目录

1 工具下载

  1. shiro反序列化漏洞综合利用工具v2.2下载:
    链接:https://pan.baidu.com/s/1kvQEMrMP-PZ4K1eGwAP0_Q?pwd=zbgp
    提取码:zbgp
  2. 其他工具下载:
    除了该工具之外,github上还有其他大佬贡献的各种工具,有许多python编写的工具,功能简单,可以作为理解shiro漏洞原理并编写自己工具的教材。

2 依赖环境安装

  1. 说明:shiro反序列化漏洞综合利用工具v2.2是采用java编写的,需要使用java8环境来解析
  2. 下载java8环境:可以在官网下载java8的安装包,根据自己系统情况选择适合自己的安装包。如果是win64系统可以按网盘链接下载:https://pan.baidu.com/s/1Yg7fq5_5zOMR6UphAA896w?pwd=e7hk 提取码:e7hk。
    在这里插入图片描述
  3. 安装java8。右键刚下载到的exe安装包,以管理员方式运行,建议采用默认选项。
  4. 设置系统环境变量。如下图新增JAVA HOME参数设置值为java的安装路径,并在path参数中新增两个值。
    在这里插入图片描述
    在这里插入图片描述
  5. 验证是否安装成功。按win+R弹出cmd窗口,输入命令java -version,查看回显版本是否如下图,以1.8开头说明安装成功。
    在这里插入图片描述
  6. 对于原先有安装其他版本导致无法查询到Java8的,请另找教程解决。

3 使用

  1. 找到刚下载的“shiro反序列化漏洞综合利用工具v2.2”,解压,打开文件夹,可以看到里面有一个jar文件和一个文件夹,文件夹内的文件是存放key的字典。
    在这里插入图片描述
  2. 在该层文件夹地址栏处输入cmd并回车,打开终端,此时终端的路径定位在该文件夹处。
    在这里插入图片描述
  3. 输入命令java -jar shiro_attack-2.2.jar,以java环境执行该文件。
    在这里插入图片描述
  4. 弹出工具窗口如下。
    在这里插入图片描述
  5. 具体使用方法在后续复现过程中再体现。
Fighting_hawk
关注
  • 23
    点赞
  • 52
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
shiro反序列化漏洞检测工具,含链接教程
08-17
[admin@ shiro]java - shiro_tool.jar https://xx.xx.xx.xx/ [-] target: https://xx.xx.xx.xx/ [-] target is use shiro [-] start guess shiro key. [-] shiro key: kPH+bIxk5D2deZiIxcaaaA== [-] check URLDNS [*] find: URLDNS can be use [-] check CommonsBeanutils1 [*] find: CommonsBeanutils1 can be use [-] check CommonsCollections1 [-] check CommonsCollections2 [-] check CommonsCollections3 [-] check CommonsCollections4 [-] check CommonsCollections5 [-] check CommonsCollections6 [-] check Commons
探索安全边界:Shiro RCE漏洞利用工具——`shiro_rce_exp`
最新发布
gitblog_00081的博客
06-15 286
探索安全边界:Shiro RCE漏洞利用工具——shiro_rce_exp 项目地址:https://gitcode.com/wuppp/shiro_rce_exp 在这数字化的时代,安全是我们不能忽视的关键因素。今天,我们要向大家介绍一个开源项目:shiro_rce_exp,这是一个专门用于研究Apache Shiro框架中潜在的远程代码执行(RCE)漏洞工具。通过模拟 Padding Ora...
Shiro反序列化漏洞(CVE-2016-4437)+docker靶场+工具利用
weixin_46411728的博客
07-16 2213
shiro_attack_2.2
Java反序列化漏洞(ysoserial工具使用shiro反序列化利用)
qq_50854662的博客
05-26 1822
Java反序列化漏洞(ysoserial工具使用shiro反序列化利用)
ShiroExp-1.3.1-all.jar shiro反序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro反序列化检测工具 我这里是用于搭建攻防演练演示环境用
shiro反序列化漏洞学习(工具+原理+复现)
qq_53058639的博客
03-06 1299
工具准备2.冰蝎 C:\Users\ali\Desktop\tools\Behinder_v4.0.63.shiro反序列化 图形化工具4.shiro反序列化 命令行工具一.Shiro-550 CVE-2016-4437序列化:在Java中,把Java对象转换为字节序列(json/xml)的过程叫序列化。反过来,把字节序列(json/xml)恢复为Java对象的过程就叫反序列化Shiro反序列化:Apache。
【网络安全---漏洞复现】shiro550反序列化漏洞原理与漏洞复现和利用(基于vulhub,保姆级的详细教程)
m0_67844671的博客
09-21 4544
shiro550反序列化漏洞原理与漏洞复现和利用(基于vulhub,保姆级的详细教程);Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序;
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1
shiro 反序列化 _CVE-2016-4437
qq_51459600的博客
12-28 2833
1.环境搭建 实验靶机:CentOS7(192.168.2.102) 攻击机:Kali-Linux(192.168.2.101) 在CentOS7开启docker容器: 浏览器登录192.168.2.102:8080 2.漏洞利用 影响版本:Apache Shiro <= 1.2.4 下载shiro反序列化工具: Release ShiroExploit v2.3 · feihong-cs/ShiroExploit-Deprecated (github.com) 填入靶机地址: 对kal
shiro反序列化测试工具.zip
06-04
shiro反序列化测试工具包,两个使用任意一个即可
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
文件内包含内容如下: 1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具...4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro反序列化漏洞、暴力破解漏洞修改方法
Shiro反序列化漏洞检测工具
01-05
Apache Shiro是一款强大的Java安全框架,它为...通过了解Shiro反序列化漏洞的原理和防范措施,我们可以更好地保护我们的系统免受此类攻击。同时,使用提供的检测工具进行定期扫描,也能及时发现并修复潜在的安全隐患。
shiro反序列化利用工具-ShiroAttack2(一)
siu~
08-10 799
shiro反序列化漏洞综合利用,包含(回显执行命令/注入内存马)修复原版中NoCC的问题
Apache Shiro反序列化(CVE-2016-4437)漏洞复现
m0_55854679的博客
07-31 747
Apache shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。使用Java序列化—>使用密钥进行AES加密—>Base64加密—>得到加密后的RememberMe内容同时在识别用户身份的时候,需要对RememberMe加密内容—>Base64解密—>使用密钥进行AES解密—>Java反序列化问题出在AES加密的密钥Key被硬编码在代码里,这意味着攻击者只要通过源代码找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化,的将。..
shiro】Apache Shiro 1.2.4 反序列化漏洞(CVE-2016-4437 )
Fighting_hawk的博客
07-02 5374
介绍shiro反序列化漏洞的原理、流程和综合利用工具使用
shiro反序列化搭建、利用、复现、漏洞原理
芜湖~米汤来喽~
01-07 1634
Shiro框架下框架供了记住密码的功能(RememberMe)用户登陆成功后会生成一个经过加密的Cookie其Cookie的RememberMe的Value的值是经过序列化、AES加密和base64编码后得到的结果。由于使用了AES加密,在Shiro1.2.4版本之前AES加密默认密钥的Base64编码值为kPH+bIxk5D2deZiIxcaaaA==,于是就可得到Payload的构造流程:恶意命令–>序列化–>AES加密–>base64编码–>发送Cookie–>回显数据–>数据解码。
shiro反序列化漏洞综合利用工具v2.2
05-12
Shiro反序列化漏洞是一种常见的网络安全漏洞,用于攻击使用Apache Shiro框架的应用程序。Shiro反序列化漏洞综合利用工具v2.2是一款用于利用该漏洞工具,能够快速定位Shiro漏洞,加速攻击流程,并且具有高可靠性。 该工具集成了多个漏洞利用方式,包括恶意反序列化、Cookie欺骗、构造恶意Http请求等,可在不同场景下实现攻击。此外,工具还提供了web漏洞扫描、流量分析和反向Shell等功能,可实现完整的渗透测试流程。 Shiro反序列化漏洞综合利用工具v2.2具有易用性和灵活性,支持多种操作系统,包括Windows、Linux和MacOS等,使用起来非常方便。另外,该工具还提供了详细的攻击日志和错误提示,方便攻击者进行调试和修正错误。 总之,Shiro反序列化漏洞综合利用工具v2.2是一款强大的漏洞利用工具,可广泛应用于网络安全领域,有助于有效防范Shiro漏洞带来的威胁。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值