漏洞的复现和工具的使用案例地址:http://t.csdn.cn/vWhje。
工具可以探测到IP是否具有shiro反序列化漏洞,可以检测(shiro550和shiro721)两种漏洞。
ShiroExploit v2.51 Final
1. 增加 2 种新的回显方式 TomcatEcho2, JBossEcho,将 WeblogicEcho1 和 WeblogicEcho2 进行了合并
2. 默认不启用 WindowEcho, Use with caution
3. Shiro550VerifierUsingEcho 回退到 URLDNS 方法时,由原先的使用 ceye.io 修改为使用 dnslog.cn
4. 增加对设置 Http 代理的支持
5. 增加 About 按钮
6. 反编译了网上流传的 xary 的 gadget,参考其 tomcat echo 的代码对原本的 tomcat 回显代码进行优化
7. 对 AutoFindRequest LinuxEcho WindowsEcho 的代码进行优化
2022-06-01 18:00:11
63.57MB
1
ShiroExploit
支持对Shiro550(硬编码秘钥)和Shiro721(Padding Oracle)的一键化检测,支持多种回显方式
使用说明
第一步:按要求输入要检测的目标URL和选择漏洞类型
Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie
可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType
复杂Http请求支持直接粘贴数据包 pic1
第二步: 选择攻击方式
pic2
选择 使用 ceye.io 进行漏洞检测
可
2021-12-12 15:20:24
63.42MB
1
shiro550、721反序列化RCE漏洞利用工具,本工具仅限本地环境检测,请勿用于非法用途。后果自负。侵删。。!
2021-10-11 22:07:49
1.58MB
1
2019.11.9更新:
由于当初作者开发时能力有限,导致工具本身存在着重重和问题矛盾等多重矛盾。目前有很多其他的优秀工具提供了对shiro检测/利用更好的支持(如更好的回显支持,更有效的小工具与直接支持内存外壳等),此工具当前已相形见绌。请各位移步其他更优秀的项目,感谢各位的使用。
2019.9.20更新:
对回显方式进行了一次更新,希望现在能好用一点
2020.9.12更新:
很多回显方式在本地测试OK,但是在实际环境中却不行,这个问题我不知道该怎么解决,希望有师傅可以指导下或者一起讨论下。
ShiroExploit
支持对Shiro550(硬编码秘钥)和Shiro721(Padding Oracle)的一键化检测,支持多种回显方式
使用说明
初步:按要求输入要检测的目标URL和选择突破类型
Shiro550提供rememberMe Cookie, Shiro721需要提供一个有
2021-10-11 21:59:08
635KB
1
一次shiro反序列化漏洞的解决经历;方法来自:https://blog.csdn.net/weixin_38307489/article/details/104618667;
工具来自:https://github.com/feihong-cs/ShiroExploit;
2021-09-13 14:17:00
62.67MB
1
雷石安全实验室出品
Shiro命令执行工具V2.0
内置shiro 117个键
支持dnslog(ceye.io)查询检测,增加准确性
/ *支持攻击利用。支持密钥与小工具自定义* /
Shiro命令执行工具
V1.0提供默认的键的查询
摘取xray高级版xray利用链
100+个键已注释!!!!
2021-07-06 13:50:04
636KB
1
ShiroExploit.V2.3
shiro远程命令执行 550 721
一键漏洞利用
rce
图形化利用.zip
2021-05-21 11:15:55
50.07MB
1