Burpsuite Shiro检测插件—ShiroScanner&ShiroScan&BurpPlugin_Shiro

最新推荐文章于 2024-04-02 09:57:51 发布
最新推荐文章于 2024-04-02 09:57:51 发布
阅读量3.3k 收藏 1
点赞数 1
分类专栏: 网络安全&云安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490561/article/details/115447737
版权
本文介绍了三款用于检测Shiro安全框架的Burp插件:ShiroScanner、ShiroScan和BurpPlugin_Shiro。ShiroScanner能检测不出网情况下的Shiro漏洞,ShiroScan是被动式插件,而BurpPlugin_Shiro则是基于Python的检测工具。每款插件的导入、使用方法及GitHub链接都进行了详细说明。
摘要由CSDN通过智能技术生成

目录

1.前言

2.ShiroScanner插件

2.1 ShiroScanner介绍&导入

2.2 ShiroScanner的使用

3.ShiroScan插件

4.BurpPlugin_Shiro插件

 

1.前言

       在对网站进行渗透时,如何判断网站是否使用了Shiro安全框架,以及如何检测是否存在Shiro反序列化漏洞呢?相关的Burp插件,已经有大佬写出来了。希望未来某一天,自己也能写一个。

 

2.ShiroScanner插件

2.1 ShiroScanner介绍&导入

       ShiroScanner是一个采用SimplePrincipalCollection检测shiro漏洞的Burp插件,可以检测不出网的情况。并且该插件中集成了14个key可以用于检测反序列化漏洞。

检测原理:

       通过发一个请求包,cookie中包含一个rememberMe字段,如果返回的响应包中存在rememberMe=deleteMe字段,即说明使用了Shiro安全框架。

                                                                    Github地址

了解本专栏 订阅专栏 解锁全文 超级会员免费看
afei00123
关注
专栏目录
订阅专栏
ShiroScanner
05-14
ShiroScanner 2021.3.19 采用SimplePrincipalCollection检测shiro漏洞,可以检测不出网的情况。 一款burp插件 用来扫描shiro反序列化的插件,装上后流量流过burp就行,会被动扫描,有漏洞就会输出。 本工具仅供测试使用,切勿用于违法用途。
ShiroScan 开源项目使用教程
最新发布
gitblog_00529的博客
08-16 434
ShiroScan 开源项目使用教程 ShiroScanburp插件 ShiroScan 主要用于框架、无dnslog key检测项目地址:https://gitcode.com/gh_mirrors/shir/ShiroScan 1. 项目目录结构及介绍 . ├── src # 源代码目录 │ └── main # ...
探秘ShiroScan:一款强大的Web安全扫描工具
gitblog_00062的博客
03-28 543
探秘ShiroScan:一款强大的Web安全扫描工具 ShiroScanburp插件 ShiroScan 主要用于框架、无dnslog key检测项目地址:https://gitcode.com/gh_mirrors/shir/ShiroScan 项目简介 是一个由开发者 Daybr4ak 创建的开源Web安全扫描器。它旨在帮助网站管理员和安全研究人员识别潜在的安全漏洞,从而提升网站的安全性。S...
shrio反序列漏洞修复_GitHub - Ethancck/ShiroScan: Shiro RememberMe 1.2.4 反序列化漏洞图形化检测工具(Shiro-550)...
weixin_30865253的博客
01-17 989
Shiro反序列化检测工具ShiroScan用于检测存在Shiro反序列化漏洞的key值。有三种方式进行检测,第一种是利用URLDNS进行检测,第二种利用命令执行进行检测,第三种使用SimplePrincipalCollection序列化后进行检测(XCheck,即Xray Check)。功能简介默认DNSLOG选择后会调用dnslog.cn的接口,生成一个域名,进行检测后,结果会输出在结果区域。...
探索ShiroScan:一款强大的Web安全扫描工具
gitblog_00074的博客
04-02 466
探索ShiroScan:一款强大的Web安全扫描工具 项目地址:https://gitcode.com/sv3nbeast/ShiroScan 在网络安全日益重要的今天,发现并预防潜在的安全漏洞显得至关重要。ShiroScan 是一个由开发者sv3nbeast创建的开源项目,它是一个基于Apache Shiro的自动化Web应用程序安全扫描器。本文将深入解析ShiroScan的功能、技术原理和应用...
ShiroScan:安全扫描工具,让Web应用防护更智能
gitblog_00038的博客
04-02 413
ShiroScan:安全扫描工具,让Web应用防护更智能 项目地址:https://gitcode.com/fupinglee/ShiroScan ShiroScan 是一个基于Java设计的轻量级Web安全扫描器,由开发者fupinglee维护。它旨在帮助开发人员和系统管理员在早期阶段发现潜在的安全漏洞,以提升Web应用程序的安全性。 技术解析 ShiroScan 使用了 Apache Shir...
ShiroScan-1.1.jar
04-21
Shiro扫描工具
BurpShiroPassiveScan:一款基于BurpSuite的被动式shiro检测插件
03-18
不想每个站点自己去添加个rememberMe去探测是否shiro框架于是乎〜它就诞生了简介BurpShiroPassiveScan一个希望能节省一些渗透时间好进行划水的扫描插件插件插件BurpSuite传进来的每个不同的域名+端口的流量进行一...
HaE:HaE-BurpSuite荧光笔和提取器
03-20
例如,如果要匹配Shiro应用程序的响应消息,则正常的匹配规则是rememberMe=delete ,如果要提取此内容,则需要成为(rememberMe=delete) 。 指示 加载: Extender - Extensions - Add - Select Fi
BurpShiroPassiveScan.jar
12-27
这个就是burp里面直接就能安装的插件
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞。
BurpSuite-collections:有关burpsuite插件(非商店),文章以及使用技巧的收集(此项目不再提供burpsuite破解文件,如需要请在博客mrxn.net下载)。使用Burpsuite的技巧,无破解版本文件
03-21
打p套件集合 BurpSuite相关收集项目,插件主要是非BApp Store(商店)(本项目仅用于burpsuite插件相关学习研究使用!不再提供破解版!项目已经被burp官方提交到GitHub的DMCA了,删除了破解相关文件,如有需要请前往...
ShiRoAll123Jar_jb51.rar
01-04
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。标题中的 "ShiRoAll123Jar_jb51.rar" 提供的是 Apache Shiro 的特定版本——1.2.3 版本...
Shiro的使用与配置实战
逍遥飞鹤的专栏
05-28 1618
1.关于Shiro在Spring中的配置 1.直接在HIbernate中使用Ehcache的配置 <beans xmlns="http://www.springframework.org/schema/beans" xmlns:aop="http://www.springframework.org/schema/aop" xmlns:context="http://www.sp
shior反序列化利用
qq_45631782的博客
01-19 511
shior反序列化利用 简介 Apache Shiro 是一个强大的Java安全框架,功能是执行身份验证、授权、密码和会话管理等 成因 rememberMe功能的AES密钥硬编码在代码中,造成密钥泄露。使得恶意攻击者可以利用系统在用户登录并勾选了“记住我”时所生成cookie的流程,构造恶意cookie,服务器收到该cookie后解析出的命令可能会造成信息泄露等安全风险。 利用脚本简介 s.py 文件一般用于靶机上访问vps服务器端口 shiro_command.py 构造命令dpayload的脚本 ys
Shiro入门实战【附源码】
永远年轻
06-25 1258
文章目录1. Shiro简介2. Shiro 的认证流程3. 编码实战3.1 创建 SpringBoot 项目,pom.xml 依赖如下:3.2 application.yml 配置如下:3.3 实体类创建3.4 创建 mapper 接口3.5 在主启动类上加 @MapperScan 注解扫描 mapper 的位置3.6 创建 mapper.xml 文件,代码如下:3.7 创建数据库 test,sql 语句如下:3.8 创建 AuthRealm,实现 Shiro 框架的 AuthorizingRealm,代
BurpSutie拓展插件合集(介绍、安装、使用方法)
热门推荐
dd_c1d的博客
03-22 1万+
简介 本文介绍比较好用的几个burp插件,并且亲自使用和调试了一段时间,为了避免大家走弯路,我写这篇文章来跟喜欢安全的小伙伴分享: 1.不同burp的版本一定程度上会影响插件使用,老版本burp对有些插件并不适用,如果想要有良好的体验尽量下载新burp。 2.有些插件是python写的,想在java环境的burp中使用这些插件需要安装jython环境,具体步骤在第6个插件上有详细说明。 3.下面这些XXXscan插件更多的作用体现在漏洞扫描(漏...
被动式shiro检测插件-BurpShiroPassiveScan
siu~
08-24 1073
一款基于BurpSuite的被动式shiro检测插件
burpsuite插件shiro
09-28
BurpSuite插件Shiro是一款用于扫描Shiro框架漏洞的插件。通过该插件,可以自动化地扫描目标站点是否存在Shiro框架,并探测是否存在Shiro的相关漏洞,如未授权访问等。插件通过对传输到BurpSuite的流量进行分析,识别出使用了Shiro框架的站点,并对其进行漏洞扫描。该插件的目的是为了节省渗透测试的时间,提高测试效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

afei00123

您的支持是我创作最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值