Ladon插件-批量检测网站是否使用Shiro

最新推荐文章于 2024-05-14 12:42:30 发布
最新推荐文章于 2024-05-14 12:42:30 发布
阅读量1.9k 收藏 3
点赞数 1
分类专栏: Ladon 信息收集 文章标签: Ladon Apache Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/k8gege/article/details/108631716
版权

本文教大家如何用编写Ladon插件,并批量检测网站是否使用Shiro。

为何不直接批量检测是否存在反序列化漏洞?由于检测Shiro是否存在反序列化漏洞,可能需要发送多个KEY去检测,意味着要发比较多的包,对于批量来说可能速度会很慢,所以我们改变策略,只发两三个包先把使用Shiro的网站找出来,找出来之后再使用对应工具扫描目标站点。要知道批量发送PAYLOAD和批量发送正常请求对于WAF来说会有不同的结果,前者WAF不会拦截,后者可能就轻易被BAN掉IP。缺点不只是速度慢,还有被发现的风险。当然大家也可加上检测序列化漏洞的代码,一键批量,毕竟大家遇到的环境不同,管理员的水平也不同,有些你扫到目标机器冒烟了管理员都不理你,这种水平的管理员,你怎么搞都不会被发现啦。

支持版本

>= Ladon 5.0

模块类型

信息收集

插件功能

检测指定网站是否使用Apache Shiro,工具可单独使用,也可被Ladon调用批量检测。

核心代码

判断是否使用Shiro,通过检测返回头是否包含rememberMe即可。

       private static void CheckShiro(string url)
        {
            try
            {

                HttpWebRequest request = (HttpWebRequest)HttpWebRequest.Create(url);
                request.Headers.Add
最低0.47元/天 解锁文章
k8gege
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ladon9.0-20211024.zip
05-16
- **企业内网安全评估**:企业可以使用Ladon9.0来检测内部网络的安全状况,找出可能的弱点。 - **Web应用渗透**:针对Web应用程序进行深度测试,查找SQL注入、XSS等常见漏洞。 - **安全培训**:作为教学工具,...
Ladon-master.zip
06-16
Ladon一款用于大型内网渗透的多线程插件化综合扫描神器,含端口扫描、服务识别、网络资产、密码爆破、高危漏洞检测以及一键GetShell,支持批量A段/B段/C段以及跨网段扫描,支持URL、主机、域名列表扫描。
Shiro 框架总结】8 RememberMe
FullStackDeveloper0的博客
04-17 367
一、概述 Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 首先在登录页面选中 RememberMe 然后登录成功;如果是浏览器登录,一般会把 RememberMe 的Cookie 写到客户端并 保存下来; 关闭浏览器再重新打开;会发现浏览器还是记住你的;...
Apache Shiro介绍
码出个天下——程序员的自我修养
03-19 1725
shiro框架介绍 一、什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的状态。 对于任何一个应用程序,Shiro
2024年一个批量扫描shiro漏洞的工具_shiro批量检测,2024年最新附架构师必备技术详解
最新发布
2401_84920041的博客
05-14 343
支持 -bypass 1。
web项目中使用Apache Shiro教程
weixin_30532987的博客
03-10 120
http://www.ibm.com/developerworks/cn/java/j-lo-shiro 转载于:https://www.cnblogs.com/zihuwuyu/p/4326629.html
自己测试使用shiro安全框架
duanduan339的博客
03-24 577
今天学了一下shiro安全框架根据别人的文章实验成功 特地记录一下 原文转自:https://www.jianshu.com/p/7f724bec3dc3 我用的是springboot框架集成的 1 项目架构 2 导入依赖 <!-- shiro安全框架--> <dependency> <groupId>...
Apache Shiro的Java认证指南(Shiro官方文档翻译)
Ablel的博客
01-06 228
Apache Shiro的Java认证指南
ladon入侵检测系统源码C#版本
05-14
ladon入侵检测系统源码C#版本,适合从业网络安全人员或者对网络安全爱好者
Ladon-开源
07-01
Ladon 是一个分布式计算系统,用于替代分布式网络和各种@home 项目的专有软件。 目标是允许任何人在那里创建自己的分布式计算项目。 并简化提高认识的过程
PyPI 官网下载 | ladon-1.0.2.tar.gz
01-12
8. **可扩展性**:Ladon设计时考虑了扩展性,可以通过插件系统添加新的功能,如认证、授权和日志记录。 9. **文档生成**:Ladon可以自动生成API文档,帮助开发者快速了解如何使用提供的服务。 在下载并解压ladon-...
shiro 框架认识过程
leeta的博客
08-06 385
关键对象: Subject:主体:访问系统的用户,进行认证的都称为主体; Principal:身份信息:是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)。 credential:凭证信息:是只有主体自己知道的安全信息,如密码、证书等。 主体(Subject),主体需要访问系统中的资源。 资源(Resource),如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如
Shiro框架基本知识及应用
m0_67393039的博客
03-28 1773
1. Shiro 基本知识 1. 目前市面主流的安全框架shiro:轻量级的,使用很方便,灵活,是apache提供的,在任何框架的 SpringSecurity:是Spring家族的一部分,很多项目中会使用spring全家桶,相对与shiro来说,springSecurity更重量级,必须要求spring环境;相对shiro而言,功能更强大 2. 什么是Shiro Shiroapache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证、权限授权、加密、会话管理等功能
shiro反序列化漏洞复现
94小菜
09-27 2179
目录简介:靶场环境漏洞复现一、手工复现二、图形化工具 简介: Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性 漏洞原理: Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。 那么,Payload产生的过程: 命令=&
在 Web 项目中应用 Apache Shiro 开源权限框架
百威
03-28 234
Apache Shiro 是功能强大并且容易集成的开源权限框架,它能够完成认证、授权、加密、会话管理等功能。认证和授权为权限控制的核心,简单来说,“认证”就是证明你是谁? Web 应用程序一般做法通过表单提交用户名及密码达到认证目的。“授权”即是否允许已认证用户访问受保护资源。关于 Shiro 的一系列特征及优点,很多文章已有列举,这里不再逐一赘述,本文重点介绍 Shiro 在 Web Appli...
shiro框架教程(一) 定义,简单上手
weixin_46295656的博客
01-17 353
shiro框架教程(一) 定义,简单上手 1.什么是shiro框架? 大家都知道,Apache Shiro是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。 说简单点,该框架主要就是用来认证和授权的。认证:及身份认证,判断你是否是合法用户;授权:及你是否有权限去操作某些资源或者去执行一些功能。更多的定义就不说了,网上一查都有。我们主要是要搞清楚shiro框架怎么认证及授权的。 2.shiro框架的核心。 (1). 图解.首先我们来看一下官方给出的图。 图解: Subjec
查看Apache shiro的版本
m0_67394360的博客
04-12 8931
先进到程序部署的路径下,执行 grep -rn ‘org.apache.shiro’ 如图: [root@localhost webapps]# cd /home/server/wbgl/apache-tomcat-1124/webapps [root@localhost webapps]# grep -rn 'org.apache.shiro' Binary file ROOT/WEB-INF/classes/com/inspur/sso/MainController.class matches Bina
Shiro 安全框架 详解
共勉
06-07 4959
Shiro简介 Apache Shiro是Java的一个安全(权限)框架Shiro可以非常容易的开发出足够好的应用,不仅可以用在JavaSE环境,也可以用在JavaEE环境。 Shiro可以完成:认证、授权、加密、会话管理、与Web集成、缓存等。 Shiro的下载 在官网上进行下载:http://shiro.apache.org/ 选择Download跳转到下载界面: 选择版本,(当前稳定版本,源代码分发,单击进入) 之后可以在单击zip进行直接下载 或者使用Git项目管理工具进行克隆源代码:Gi
另类又不另类的shiro检测方式
m0_67265464的博客
08-28 492
先随便唠叨几句,当碰到某个漏洞的时候,我们用工具直接去打,成功了就成功了,没成功我们也不知道为啥,即使是问出来为啥,可能不理解其中的含义也不知道说的啥。同事说我的文章都是别人写过的文章,然后截个图就完事了。我想说的是整个反序列化系列都是我跟随前人的步伐一步一步踏过来的,脚印很扎实。正所谓知其然不知其所以然,连探索精神都没有,我觉得那只能堕落,沉沦,灭亡。下面我们说文章。...
x-ladon x-argus python
09-18
使用X-Ladon,开发人员可以快速构建安全可靠的Web服务,并且可以轻松地扩展和管理它们。 X-Argus是一个功能强大的网络流量分析框架,用于实时监控和分析网络流量。它使用Python编程语言,并提供了许多工具和功能,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值