一款加強版圖形界面shiro反序列化漏洞利用工具
shiro反序列化漏洞綜合利用 v2.2
填坑,修bug。基于javafx,利用shiro反序列化漏洞進行回顯命令執行以及注入各類內存馬
自定義關鍵字
添加代理功能(設置->代理)
檢出默認key (SimplePrincipalCollection) cbc/gcm
Tomcat/Springboot 回顯命令執行
集成CommonsCollectionsK1/K2/NoCC
通過POST請求中defineClass字節碼實現注入內存馬
resources目錄下shiro_keys.txt可擴展key
內存馬
注入類型:冰蝎,哥斯拉,蟻劍[JSP 自定義返回包格式],neoreGeorg,reGeorg(均為默認配置,當前最新版本)
提示:注入Servlet內存馬路徑避免訪問出錯盡量選擇靜態資源目錄。, Filter無需考慮
某些spring環境以jar包啟動寫shell麻煩
滲透中找目錄很煩,經常出現各種寫shell浪費時間問題
無落地文件舒服
主要參考哥斯拉以及As-Exploits兼容實現
TODO
解決serialVersionUID匹配cc/cb多種jar包
...
修復日志
2021.6.22
修復自定義參數無效
添加filter馬
審核編輯 :李倩
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
漏洞
+關注
關注
0文章
205瀏覽量
15630 -
序列
+關注
關注
0文章
70瀏覽量
19798 -
Shell
+關注
關注
1文章
372瀏覽量
23994
原文標題:一款加強版圖形界面shiro反序列化漏洞利用工具
文章出處:【微信號:菜鳥學信安,微信公眾號:菜鳥學信安】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
熱點推薦
快手上線鴻蒙應用高性能解決方案:數據反序列化性能提升90%
普通對象(如 JSON 數據)與類實例進行互轉,是實現面向對象編程與數據序列化解耦的核心工具。隨著業務復雜度的提升,該庫在反序列化過程中逐漸暴露出性能瓶頸,影響用戶核心體驗。因此
發表于 05-15 10:01
spartan 6 14位LVDS 反序列化
spartan 6系列的FPGA 與14位ADC 輸出LVDS信號 怎么實現1:14的串轉并呢?iserdes2 在ise里面最高只能實現8位啊
發表于 04-25 15:20
什么是SerDes?SerDes有哪些應用?
SerDes是一種功能塊,用于對高速芯片間通信中使用的數字化數據進行序列化和反序列化。用于高性能計算(HPC)、人工智能(AI)、汽車、移動和物聯網(IoT)應用的現代片上系統(SoC
七款經久不衰的數據可視化工具!
、圖形等形式展示,使數據更易于理解與分析。本文將深入探討數據可視化工具的概念、種類及其應用,同時,我們將推薦一款高效好用的數據可視化工具——FineBI,幫助您在選擇數據可視化
發表于 01-19 15:24
通用自動化測試軟件 - TAE
INTEWORK-TAE(Test Automation Executor) 是一款通用的測試用例自動化執行框架,用于汽車電子自動化測試,可支持仿真( MIL/SIL/HIL)、故障注入、 故障診斷、測量標定等測試業務,提供友好
圖形用戶界面與命令行接口的比較
界面(GUI) : GUI是一種用戶界面,允許用戶通過圖形圖標和視覺指示器與電子設備進行交互。 它通常包括窗口、按鈕、圖標和菜單等元素,用戶可以通過鼠標或觸摸屏進行操作。 命令行接口(
Kali Linux常用工具介紹
Kali Linux 虛擬機中自帶了大量滲透測試工具,涵蓋了信息收集、漏洞利用、口令破解、漏洞掃描等多個方面。 以下是按分類簡要介紹一部分常
高通警告64款芯片存在“零日漏洞”風險
近日,高通公司發布了一項重要的安全警告,指出其多達64款芯片組中存在一項潛在的嚴重“零日漏洞”,編號為CVE-2024-43047。這一
常見的服務器容器和漏洞類型匯總
常見的服務器容器包括KubeSphere、Tomcat、Nginx、Apache等,它們在提供便捷的服務部署和靈活的網絡功能的同時,也可能存在著一定的安全風險。這些容器的漏洞可能導致數據泄露、權限被非授權訪問甚至系統被完全控制。具體的常見服務器容器
python訓練出的模型怎么調用
使用pickle模塊 pickle 是Python的一個內置模塊,用于序列化和反序列化Python對象結構。使用 pickle 可以方便地保存和加載模型。 import pickle # 保存模型
工商網監
評論