0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

一款加强版图形界面shiro反序列化漏洞利用工具

jf_Fo0qk3ln 来源:菜鸟学信安 作者:菜鸟学信安 2022-12-15 14:40 次阅读

shiro反序列化漏洞综合利用 v2.2

填坑,修bug。基于javafx,利用shiro反序列化漏洞进行回显命令执行以及注入各类内存马

自定义关键字

添加代理功能(设置->代理)

检出默认key (SimplePrincipalCollection) cbc/gcm

Tomcat/Springboot 回显命令执行

集成CommonsCollectionsK1/K2/NoCC

通过POST请求中defineClass字节码实现注入内存马

resources目录下shiro_keys.txt可扩展key

内存马

注入类型:冰蝎,哥斯拉,蚁剑[JSP 自定义返回包格式],neoreGeorg,reGeorg(均为默认配置,当前最新版本)

提示:注入Servlet内存马路径避免访问出错尽量选择静态资源目录。, Filter无需考虑

某些spring环境以jar包启动写shell麻烦

渗透中找目录很烦,经常出现各种写shell浪费时间问题

无落地文件舒服

主要参考哥斯拉以及As-Exploits兼容实现

TODO

解决serialVersionUID匹配cc/cb多种jar包

...

修复日志

2021.6.22

修复自定义参数无效

添加filter马

195df488-7c3c-11ed-8abf-dac502259ad0.png

199ef2d0-7c3c-11ed-8abf-dac502259ad0.png

19c31e94-7c3c-11ed-8abf-dac502259ad0.png

19f995e6-7c3c-11ed-8abf-dac502259ad0.png

1a06ee4e-7c3c-11ed-8abf-dac502259ad0.png

审核编辑 :李倩

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 漏洞
    +关注

    关注

    0

    文章

    204

    浏览量

    15366
  • 序列
    +关注

    关注

    0

    文章

    70

    浏览量

    19555
  • Shell
    +关注

    关注

    1

    文章

    365

    浏览量

    23357

原文标题:一款加强版图形界面shiro反序列化漏洞利用工具

文章出处:【微信号:菜鸟学信安,微信公众号:菜鸟学信安】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    Kali Linux常用工具介绍

    Kali Linux 虚拟机中自带了大量渗透测试工具,涵盖了信息收集、漏洞利用、口令破解、漏洞扫描等多个方面。 以下是按分类简要介绍部分常
    的头像 发表于 11-11 09:29 456次阅读

    常见的服务器容器和漏洞类型汇总

    常见的服务器容器包括KubeSphere、Tomcat、Nginx、Apache等,它们在提供便捷的服务部署和灵活的网络功能的同时,也可能存在着定的安全风险。这些容器的漏洞可能导致数据泄露、权限被非授权访问甚至系统被完全控制。具体的常见服务器容器
    的头像 发表于 08-29 10:39 213次阅读

    用git还是用图形界面安装idf-tools总是失败,这是什么问题?

    无论是用git还是用图形界面安装idf-tools总是失败,这是什么问题?
    发表于 06-19 07:03

    上位机控制界面用什么做好

    在设计上位机控制界面时,选择合适的开发工具和框架至关重要。本文介绍如何创建个优秀的上位机控制界面。 引言 上位机控制界面是实现人机交互的关
    的头像 发表于 06-06 10:54 914次阅读

    上位机可视界面编程软件有哪些

    上位机可视界面编程软件是类用于开发图形用户界面(GUI)的软件工具,它们通常提供了丰富的
    的头像 发表于 06-06 10:48 2455次阅读

    c语言怎么做可视界面

    C语言是种通用的编程语言,广泛应用于系统编程、嵌入式开发等领域。虽然C语言本身并不支持直接创建可视界面,但通过结合图形库和
    的头像 发表于 06-06 10:46 2283次阅读

    在嵌入式系统中集成Rust和Qt的实践

    Rust 拥有丰富的库生态系统,用于序列化反序列化、异步操作、解析不安全输入、线程、静态分析等,而 Qt 是个 C++ 工具包,支持跨各种平台的丰富的、基于 GUI 的应用程序,从
    发表于 05-03 10:26 1785次阅读
    在嵌入式系统中集成Rust和Qt的实践

    一款适合嵌入式工程师使用的在线工具

    一款适合嵌入式工程师使用的在线工具工具有如下功能,如下图所示: 1. 报文校验功能,如下图所示 2. UDP服务端测试工具:该UDP服务端
    发表于 04-09 22:20

    FPGA板子可以跑Qt应用程序吗

    Qt作为一款跨平台GUI图形界面设计软件,她可以在windows、Linux上运行,没听说过在FPGA的板子上运行Qt程序呢?
    发表于 03-28 23:27

    俄勒冈州禁止数码设备使用“序列化”技术

    该法案对诸如苹果iPhone等数字产品产生巨大影响,意即制造商无法利用“零件序列化”技术束缚消费者选择第三方维修服务或自主修复非原产部件,同时也不能以此减少设备性能或误导使用者。
    的头像 发表于 03-28 10:46 525次阅读

    兆易创新与SEGGER联合提供免费商用的emWin图形界面解决方案

    合作,为使用GD32系列Arm® Cortex®-M微控制器的广大用户提供免费商用的emWin嵌入式GUI(图形用户界面)以及屡获殊荣的AppWizard工具。这举措旨在加速高性能G
    的头像 发表于 03-16 09:59 1007次阅读

    个集成的BurpSuite漏洞探测插件

    BurpSuite在日常渗透测试中占据重要地位,是一款广受认可的渗透测试工具。通过其强大的功能和用户友好的界面,支持安全人员发现和修复Web应用程序中的潜在漏洞。不仅适用于初级渗透测试
    的头像 发表于 01-19 11:35 1279次阅读
    <b class='flag-5'>一</b>个集成的BurpSuite<b class='flag-5'>漏洞</b>探测插件

    源代码审计怎么做?有哪些常用工具

    源代码审计是种通过检查源代码来发现潜在的安全漏洞的方法。 下面是常用的源代码审计工具: 1、Fortify:通过内置的五大主要分析引擎,对源代码进行静态分析,并与特有的软件安全漏洞
    发表于 01-17 09:35

    POC管理和漏洞扫描小工具

    工具是采用javafx编写,使用sqllite进行poc储存的poc管理和漏洞扫描集成化工具。主要功能是poc管理,并且采用多线程进行漏洞扫描。
    的头像 发表于 01-09 11:01 801次阅读
    POC管理和<b class='flag-5'>漏洞</b>扫描小<b class='flag-5'>工具</b>

    个简单的Shiro RCE检测和利用脚本

    个简单的Shiro RCE检测和利用脚本。
    的头像 发表于 01-09 09:46 638次阅读