一款加強版圖形界面shiro反序列化漏洞利用工具
shiro反序列化漏洞綜合利用 v2.2
填坑,修bug。基于javafx,利用shiro反序列化漏洞進行回顯命令執行以及注入各類內存馬
自定義關鍵字
添加代理功能(設置->代理)
檢出默認key (SimplePrincipalCollection) cbc/gcm
Tomcat/Springboot 回顯命令執行
集成CommonsCollectionsK1/K2/NoCC
通過POST請求中defineClass字節碼實現注入內存馬
resources目錄下shiro_keys.txt可擴展key
內存馬
注入類型:冰蝎,哥斯拉,蟻劍[JSP 自定義返回包格式],neoreGeorg,reGeorg(均為默認配置,當前最新版本)
提示:注入Servlet內存馬路徑避免訪問出錯盡量選擇靜態資源目錄。, Filter無需考慮
某些spring環境以jar包啟動寫shell麻煩
滲透中找目錄很煩,經常出現各種寫shell浪費時間問題
無落地文件舒服
主要參考哥斯拉以及As-Exploits兼容實現
TODO
解決serialVersionUID匹配cc/cb多種jar包
...
修復日志
2021.6.22
修復自定義參數無效
添加filter馬
審核編輯 :李倩
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
漏洞
+關注
關注
0文章
203瀏覽量
15258 -
序列
+關注
關注
0文章
70瀏覽量
19509 -
Shell
+關注
關注
1文章
359瀏覽量
23191
原文標題:一款加強版圖形界面shiro反序列化漏洞利用工具
文章出處:【微信號:菜鳥學信安,微信公眾號:菜鳥學信安】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
常見的服務器容器和漏洞類型匯總
常見的服務器容器包括KubeSphere、Tomcat、Nginx、Apache等,它們在提供便捷的服務部署和靈活的網絡功能的同時,也可能存在著一定的安全風險。這些容器的漏洞可能導致數據泄露、權限被非授權訪問甚至系統被完全控制。具體的常見服務器容器
在嵌入式系統中集成Rust和Qt的實踐
Rust 擁有豐富的庫生態系統,用于序列化和反序列化、異步操作、解析不安全輸入、線程、靜態分析等,而 Qt 是一個 C++ 工具包,支持跨各種平臺的豐富的、基于 GUI 的應用程序,從
發表于 05-03 10:26
?1332次閱讀
俄勒岡州禁止數碼設備使用“序列化”技術
該法案對諸如蘋果iPhone等數字產品產生巨大影響,意即制造商無法利用“零件序列化”技術束縛消費者選擇第三方維修服務或自主修復非原產部件,同時也不能以此減少設備性能或誤導使用者。
圖形界面開發工具GUI Guider的使用教程
GUI Guider是NXP推出的一款功能強大且對用戶非常友好的圖形界面開發工具。目前最新版本是1.6.1。
linux圖形化界面設置ip
在Linux系統中,可以使用圖形化界面來設置IP地址。下面是一個詳實而細致的文章,將指導您如何通過圖形界面設置IP地址。 第一部分:進入網絡
GUI圖形界面編程tkinter高級組件介紹
大家好, 我是了不起, 歡迎收看我的冒險之旅。 今天我們將深入學習GUI圖形界面編程tkinter, 了解高級組件的使用方式。 tkinter高級組件 OptionMenu 選擇項
python窗口圖形界面編程
庫,幫助開發者快速構建具有良好用戶體驗的窗口應用程序。 在Python的GUI編程領域,最常用的庫是Tkinter。Tkinter是Python的標準GUI庫,它基于Tk圖形庫,并提供了創建、布局和管理圖形用戶界面元素的各種組件
淺析閉源系統下的Evilparcel漏洞
Evilparcel漏洞可以導致Bundle在多次序列化和反序列化過程中內容發生改變。結合LAW跳板,可以實現權限提升,嚴重影響系統安全
發表于 11-16 14:43
?336次閱讀
什么時候需要Boost序列化
程序開發中,序列化是經常需要用到的。像一些相對高級語言,比如JAVA, C#都已經很好的支持了序列化,那么C++呢?當然一個比較好的選擇就是用Boost,這個號稱C++準標準庫的東西。
Java序列化怎么使用
轉換方式就叫做序列化。將文件或者網絡傳輸中得到的 byte[] 數組轉換為 java 對象就叫做反序列化。 怎么使用 如果一個 Java 對象要能被序列化,必須實現
Spring Boot時配置JSON序列化選項的幾種方法
在Spring Boot Web 項目中,當使用JSON格式接收數據和返回數據的時候,Spring Boot 默認使用一個ObjectMapper實例來序列化響應和反序列化請求。 在本文中,我們將
如何用C語言進行json的序列化和反序列化
呢? 當前,應用最廣泛的C語言json解析庫當屬cJSON,但是,使用cJSON讀json進行序列化和反序列化,需要根據key一個一個進行處理,會導致代碼冗余,邏輯性不強,哪有沒有更好的方法呢? 思路 在Android平臺,
如何使用Serde進行序列化和反序列化
Serde 是一個用于序列化和反序列化 Rust 數據結構的庫。它支持 JSON、BSON、YAML 等多種格式,并且可以自定義序列化和反序列化
工商網監
評論