Shiro数据解密并反编译工具——ShiroTool

已于 2022-10-19 03:04:53 修改
阅读量7.3k 收藏 2
点赞数
分类专栏: 安全工具 文章标签: shiro 反序列化 反编译 AES
于 2022-10-19 02:30:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43526443/article/details/127399933
版权

Shiro数据解密并反编译工具——ShiroTool

访问地址

主要功能

  • 内置100多个key,爆破解密rememberMe加密字段内容,对解密内容进行反序列化,展示反序列化后字节流。

  • 根据序列化协议,逐字节读取解析,进行对象结构化展示,ysoserial CommonsBeanutils CommonsCollections等payload都能识别。

  • 对涉及class文件的,再进行class反编译出java代码。

在这里插入图片描述

  • 访问网页时,默认自动填充测试数据(两类数据随机填充)

一、字节流展示:

  • 内置100多个key,爆破解密rememberMe加密字段内容,对解密内容进行反序列化,展示反序列化后字节流。

在这里插入图片描述

二、对象结构化展示:

  • 根据序列化协议,逐字节读取解析,进行对象结构化展示,ysoserial CommonsBeanutils CommonsCollections等payload都能识别。

在这里插入图片描述

三、反编译展示:

  • 对涉及class文件的,再进行class反编译出java代码。

在这里插入图片描述

在这里插入图片描述

土豆.exe
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
解密工具 —— shiro加密数据
不忘初心,护天下安全!
09-18 890
实现本地利用112个默认key对shirorememberme数据进行解密,本工具用于蓝队同学对攻击进行研判。
shiro_tool.zip
11-18
https://blog.csdn.net/xixiyuguang/article/details/109744942
攻防打点|Shiro漏洞利用大全【附工具
最新发布
jijisaq的博客
04-22 1384
这两款工具的使用方法,输入存在的shiro的url,点击爆破密钥,找到密钥后点击爆破利用链及回显即可。如果想要命令执行,点击命令执行,输入命令点击执行即可 有key无链的情况下可以尝试使用shiro_tool工具进行利用 使用方法:java -jar shiro_tool.jar https://xx.xx.xx.xx。在打点中有一大堆的目标,使用手工一个一个判断是不现实的,所以我们需要借助工具进行探测,如一些web指纹识别工具。学习效率低,学不到实战内容,花几千、上万报机构没有性价比。
shiro序列化漏洞
weixin_50887021的博客
08-15 764
shiro序列化序列化简介什么是序列化?漏洞原理检测方法漏洞利用修复方案 序列化简介 什么是序列化? 首先了解序列化和序列化地概念 序列化:将对象转换成字节序列的过程。 序列化:将字节序列转换成对象的过程。 漏洞原理 Apache shiro框架提供rememberme的功能,用户登录成功后,会生成一个cookie,该cookie的值是经过相关信息序列化,然后AES加密,Base64编码处理成的。在服务器接收到cookie之后 1.先检索rememberme cookie的值 2.Base64
shiro序列化漏洞学习(工具+原理+复现)
热门推荐
qq_49849300的博客
03-10 1万+
由于shiro序列化需要用到AES加密,而该加密方法的密钥是加解密一致的,所以我们使用shiro序列化时,AES加密的密钥必须跟服务器一致,所以经常需要盲猜服务器的密钥,好在java开发们一般都不会去修改它,而且常常直接copy论坛和github上的代码,所以可以大量收集各种密钥,然后遍历来完成序列化漏洞利用。过来,把字节序列(json/xml)恢复为Java对象的过程就叫序列化。"方法,Base64.decode()中的字符串就是shiro的密钥,要确保该密钥的安全性,千万不要使用公开的密钥。
第9篇:Shiro序列化数据解密及蓝队分析工具,提供下载
ABC_123的博客
05-04 2009
Part1 前言这个小工具的编写源于一个HW蓝队项目,我曾经作为蓝队人员值守了2周,期间发现很多蓝队人员对于序列化系列漏洞原理不清楚,导致对设备告警的各种序列化攻击不能有效地研判,也就是说不能底气十足地告诉客户,这个告警是设备误报、是扫描行为、是攻击行为、还是Web应用的用户正常行为。于是在这个项目中,我就慢慢变成了一个攻击流量研判的角色了,帮助客户对这些设备的告.........
shiro序列化工具,加强版
12-27
shiro序列化工具,加强版
ShiroExp-1.3.1-all.jar shiro序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro序列化检测工具 我这里是用于搭建攻防演练演示环境用
蓝队分析工具箱v1.0-shiro解密工具
03-03
蓝队分析工具箱v1.0——Shiro解密工具 (应急响应工具集)
shiro序列化测试工具.zip
06-04
shiro序列化测试工具包,两个使用任意一个即可
shiro漏洞检测工具
08-10
shiro漏洞检测工具,找了一个18M左右的不好用,经验证这个好用,不会报找不到类错误。
shiro_rce_tool:shiro rce tool 序列 命令执行 一键工具 回显
04-29
shiro_rce 下载地址:https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip 2021-03-31: 新增自定义或随机useragent randomagent --> random useragent useragent= --> set useragent cookiename= --> default: rememberMe 2020-10-16: 放出来一些功能: 1、spring/tomcat回显,执行命令的时候,x=whoami 就行 2、批量检测是否shiro 3、目标服务器不出网的情况下探测 2020-08-21: 新增了cc8 cc9 cc10利用链 新增了输出payload模式,在执行命令的时候输入output=on即可。 参考下面的示例 2020-05-26: 原来的停止服务了,请下载最新版本。
shiro登陆身份认证和权限管理 密码加密
01-23
shiro登陆,shiro登陆身份认证和权限管理 密码加密。自己写的demo。实用。希望大家多多支持。谢谢大家
shiro序列化脚本.zip
07-28
需要用到的俩个文件 ysoserial-master.jar 和 poc.py
shiro序列化漏洞复现(CVE-2016-4437)
m0_67391518的博客
08-24 862
ysoserial集合了各种java序列化payload;打包完的ysoserial在ysoserial/target文件中mvn package -D skipTests //需要安装maven才能使用mvn命令这个工具是一个集成化工具使用方法为在此文件目录下面cmd,使用shiro_tool.jar工具检测Shiro是否存在默认的key,
7.Shiro实现密码加密和解密
相互学习 共同进步
06-29 3889
Shiro实现密码加密和解密 常见的加密方式有很多,Shiro中提供的一套散列算法加密方式。散列算法,是一种不可逆的算法(自然是要不可逆的,因为可逆的算法破解起来也很容易,所以不可逆的算法更安全),常见的散列算法如MD5、SHA,但是网上看到很多破解MD5加密的网站,不是说散列算法是不可逆的吗?为什么还存在那么多破解密码的网站? 其实散列算法确实是不可逆的,即使是常见的MD5加密也是不可逆的加密方式,而网上的破解网站并不是能够逆向算出这个加密密码,而是通过大数据的方式得出来的,相当于,MD5解密的网站中存在
Shiro学习(五)——密码的加密解密
sadoshi的专栏
09-09 5654
前言 前面几篇文章的密码都是以明文形式存储。在真实项目中当然不可能明文存储密码,密码一定是以加密的形式存储的。前面我们可以看到当我们给出帐号和密码后,shiro就会去查找ini配置文件或者数据库对应字段来匹配账号密码。那如果我们把存储的密码加密,shiro又如何根据我们提交的明文密码与存储的加密密码匹配呢? Shiro加密与匹配的原理 这里不准备展示源码。相信很多读者看文章时面对大量源码也看得一头雾水,并不能总结出什么来,所以这里大致讲讲思路,有兴趣的读者可以自行跟踪源码。这里以读取ini文件为例
shiro序列化利用工具
07-27
Shiro是一个被广泛应用于Java应用程序中的安全框架,它提供了身份验证、授权、会话管理等功能。由于Shiro在处理用户会话序列化时存在一些安全漏洞,攻击者可以利用这些漏洞进行序列化攻击。 序列化攻击是一种利用Java对象序列化机制的攻击方法。攻击者可以通过构造恶意的序列化数据,将其传递给目标应用程序,然后利用漏洞触发目标应用程序对恶意数据序列化操作。这样一来,攻击者就能够在目标系统上执行任意代码,从而导致严重的安全问题。 为了利用Shiro序列化漏洞,攻击者需要先找到目标系统中使用了Shiro的应用程序。然后,攻击者可以使用开源的序列化利用工具,如ysoserial或ShiroExploit,生成恶意的序列化数据。这些工具可以方便地构造包含恶意代码的序列化对象,并将其序列化为字节流。 一旦攻击者生成了恶意的序列化数据,他们就可以通过各种方式将其传递给目标应用程序,例如通过网络传输、文件上传等方式。当目标应用程序接收到这些恶意数据并进行序列化操作时,恶意代码就会在目标系统上执行。 为了防止Shiro序列化利用工具的攻击,开发人员可以采取以下措施: 1. 及时更新Shiro版本:Shiro开发团队会定期修复漏洞并发布新版本。开发人员应及时更新Shiro框架,以修复已知的序列化漏洞。 2. 停用或限制不必要的Shiro功能:如果应用程序不需要某些Shiro功能,开发人员可以将其禁用或限制,以降低攻击面。 3. 输入验证与过滤:开发人员应该对用户输入进行严格的验证和过滤,以防止恶意的序列化数据被传递到应用程序中。 4. 序列化对象白名单:在序列化时,开发人员可以使用白名单机制,限制只允许特定的序列化对象进行序列化操作。 总之,Shiro序列化利用工具是一种攻击手段,开发人员应该重视相关安全漏洞,并采取适当的措施来保护应用程序免受此类攻击的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

土豆.exe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值