文章总结： 本文介绍Shiro漏洞利用工具ShiroEXP，涵盖爆破key、漏洞探测、回显链利用、命令执行及内存马注入等功能，支持全局代理。文章提供了功能演示截图，并指出了自行编译时需删除DSA和SF文件以解决主类加载问题。作者强调该工具需在虚拟机运行，仅供合法安全测试。 综合评分： 75 文章分类： 安全工具,WEB安全,漏洞POC,渗透测试

Shiro漏洞利用工具 — ShiroEXP（1月4日更新）

Y5neKO

Web安全工具库

2026年1月6日 10:11 河南

===================================

免责声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测，大家都要把工具当做病毒对待，在虚拟机运行。如有侵权请联系删除。个人微信：ivu123ivu

0x01 工具介绍

Shiro漏洞利用工具，主要功能如下：

爆破key及加密方式(已完成)漏洞探测(已完成Shiro550 URLDNS探测)探测回显链(已完成CB1+TomcatEcho、Spring、AllEcho回显链)漏洞利用(已完成命令执行、Shell模式)注入内存马(支持蚁剑、冰蝎、哥斯拉等filter、servlet类型)全局代理(已完成)

0x02 安装与使用

爆破key及加密方式

漏洞验证

爆破回显链

命令执行

Shell模式

注入内存马

全局代理

自行编译打jar包时，可能会遇到找不到或无法加载主类的问题，经排查是因为bcprov包中的签名文件，打包后删除*.DSA、*.SF文件即可 

| | | | — | — | | | |

·今 日 推 荐·

《格蠹新编——软件调试以战说法》本书通过 63 个真实案例，以故事形式深度聚焦软件调试这一关键技术，直面发生在真实产品中的真实故障，并介绍定位故障的调试工具和方法。案例中涉及的硬件包括经典的 x86 和新兴的 ARM；涉及的软件平台主要是 GNU/Linux 系统；涉及的上层软件包括 Chrome 浏览器、英伟达 GPU 驱动、微信、腾讯会议、阿里旺旺、银行软件等。书中涵盖常见的各类软件问题，包括应用程序崩溃、多线程死锁、驱动程序故障、系统级挂死和崩溃等。书中设计了一些动手试验，以供读者上手小试牛刀。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Web安全工具库 Y5neKO《Shiro漏洞利用工具 — ShiroEXP（1月4日更新）》