项目介绍 基于Apache Shiro反序列化漏洞进行利用链的探测，附内存马。 利用时需要修改POST请求两处数据，分别为Header头RememberMe字段值和携带的data数据（由于payload设定，data中须指定名字为c的参数值）。 探测到利用链后，根据提示，将屏幕输出的payload粘贴至POST请求Header头RememberMe字段处，至于data携带的数据，自行决策，本文文末附内存马，可直接粘贴至data中使用，或自行生成指定命令的字节码片段替换。 与项目相关文章首发于： Shiro exp使用手册 Shiro rememberMe反序列化漏洞 漏洞原理 Apache Shiro框架提供了记住密码的功能（RememberMe），用户登录成功后会生成经过加密并编码的cookie，服务端对rememberMe的cookie值先base64解码然后AES解密再反序列化，就导

Shiro1.2.4及以下版本存在反序列化漏洞，该工具用于测试该漏洞。

图形化界面，该工具支持漏洞检测，请勿用作非法途径，否则后果自负。 Shiro550无需提供rememberMe Cookie，Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType（支持多选），如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1

文件内包含内容如下： 1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro反序列化漏洞、暴力破解漏洞修改方法

进行shiro漏洞扫描 教程：https://blog.csdn.net/qq_41901122/article/details/107107237