shiro综合利用工具介绍

电子说

1.3w人已加入

描述

shiro综合利用工具:ShiroExp

 

工具介绍

shiro一把梭工具,该轮子主要有三大功能如下:

1、默认密钥爆破

利用SimplePrincipalCollection进行检测

利用dnslog进行检测,以解决无回显rememberMe。使用的是dnslog.cn

支持高版本的AES-GCM算法

2、命令执行

加入了shiro常用的利用链

加入了两种tomcat通用回显

3、内存马注入

冰蝎注入

内存

安装与使用

1、先手工判断是否是shiro站点。

2、发现有相关特征之后,可以尝试跑一下默认密钥(已经内置主流key,也可以使用自己的key文件。创建shirokey.txt文件放在程序目录)。某些站点rememberMe被改了,需要修改一下特征。也可以开启payload输出,方便复制进行手工检测。一般情况下用SimplePrincipalCollection检测就行,如遇到无回显之类的场景可以尝试用dnslog进行检测。

3、拿到密钥之后就可以执行命令或者直接注入内存马。如遇到执行命令无回显,可以更换利用链再次尝试。注入内存马之前,需保证选择的利用链能正常执行命令。

内存

  
      审核编辑:彭静
打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分