文章总结： Hyacinth将Struts2、Shiro、Weblogic、Fastjson、Log4j等Java主流漏洞利用整合为图形化一键Jar，支持命令执行、回显、JNDI、内存马与免杀WebShell生成，并提示JDK8u181最稳、高版本会致Shiro链失效；内置基础混淆可绕过部分WAF，后续计划统一Payload混淆、支持JDK11及自动生成报告。 综合评分： 78 文章分类： 漏洞POC,红队,WEB安全,渗透测试,安全工具

一键打穿Java全家桶！Hyacinth漏洞核弹工具降临，Struts2/Shiro/Weblogic秒变玩具

菜狗

只会看监控的实习生

2026年1月4日 14:05 广东

🌸 Hyacinth – Java漏洞一站式利用套件

攻防演练必备"瑞士军刀"，把散落各家的Java漏洞利用整合进一个Jar，图形化点击即可，告别"多Jar齐飞"的混乱现场。

⚠️ 一句话先行

JDK版本：8u181最稳！ 8u281+会导致Shiro链爆破等模块失效；出错请java -jar hyacinth.jar看终端报错，大概率是版本过高。 免杀&混淆：内置Payload已做基础混淆，具备一定WAF绕过能力，后续持续迭代。

🚀 一键启动

# 推荐运行环境
jdk1.8.0_181/bin/java -jar hyacinth.jar

🎯 功能总览

| 模块 | 覆盖漏洞/功能 | 备注 | | — | — | — | | Struts2 | S2-001 ~ S2-062 常用链 | 支持命令执行&回显 | | Fastjson | 1.2.24 ~ 1.2.80 主流链 | 自动识别出网/JNDI | | Weblogic | XMLDecoder、T3、IIOP | 集成CVE-2017-10271/2020-14882等 | | Shiro | 密钥爆破 + 链利用 | 8u281+会爆链失败，务必降级 | | Log4j | JNDI注入（含绕过） | 支持DNS、LDAP、RMI三种出网 | | Jboss | JMXInvokerServlet、Admin-Console | 图形化上传部署 | | SpringCloud | Gateway SpEL、Hystrix、Config Server | 一站式RCE | | Bypass | 免杀WebShell生成 | JSP/ASP/PHP多语言，随机混淆 | | 小工具 | Base64、Hex、URL编解码 内存马注入、反序列化Payload生成 | 临时需求无需切工具 |

🖥️ 界面预览

• 左侧树形菜单：漏洞分类一目了然
• 中央配置区：目标URL、命令、请求头、代理一键填
• 底部日志栏：实时回显执行结果，支持导出

🔧 快速排错

1. 打不开工具 → 检查是否JDK≥9，退回到8u181
2. Shiro爆破无结果 → 确认JDK版本，281+会漏key
3. 出网Payload失败 → 查看目标是否禁止DNS/LDAP出网，换IP或换链
4. 仍有问题 → 终端运行java -jar hyacinth.jar，贴日志到Issue

📌 后续计划

• [ ] 全模块Payload统一混淆，提升WAF绕过
• [ ] 内存马模块支持Agent型无文件落地
• [ ] 一键生成Word报告（漏洞+利用过程+修复建议）
• [ ] 支持JDK11运行环境（逐步兼容高版本）

关注回复java获取，后台回复进群

#

低价出售安全证书不限于cisp、pte等请Vme～

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：只会看监控的实习生 菜狗《一键打穿Java全家桶！Hyacinth漏洞核弹工具降临，Struts2/Shiro/Weblogic秒变玩具》