本文介绍了一个名为Shiro_exploit的工具,用于检测和利用Apache Shiro的反序列化漏洞。工具依赖Python2.7、requests和Jdk 1.8,提供了检测和利用两个功能。检测时,可通过指定目标URL和DNSlog来识别漏洞。利用阶段,可选择JRMP方式或根据检测结果选择合适的Gadget。请注意,此工具仅适用于合法的渗透测试和内部安全检查。
Shiro_exploit用于检测与利用Apache Shiro反序列化漏洞脚本。可以帮助企业发现自身安全漏洞。
工具下载地址:Shiro_Exploit
该脚本通过网络收集到的22个key,利用ysoserial工具中的URLDNS这个Gadget,并结合dnslog平台实现漏洞检测。漏洞利用则可以选择Gadget和参数,增强灵活性。
环境
Python2.7
requests
Jdk 1.8
使用说明
usage: shiro_exploit.py [-h] -u URL [-t TYPE] [-g GADGET] [-p PARAMS] [-k KEY]
OPTIONS:
-h, --help show this help message and exit
-u URL, --url URL Target url.
-t TYPE, --type TYPE Check or Exploit. Check :1 , Exploit:2 , Find gadget:3
-g GADGET, --gadget GADGET
gadget
-p PARAMS, --params PARAMS
gadget params
-k KEY, --key KEY CipherKey
Example: python shiro_exploit.py -u target
检测默认只需要使用-u参数即可。
检测可用gadget的方式可以运行
python shiro_exploit.py
最低0.47元/天 解锁文章
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
