新Shiro反序列化漏洞一站式综合利用工具

admin
admin
admin
0
文章
0
评论
2026-01-23 11:05:59 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: ShiroExploit是一款Shiro反序列化漏洞综合利用工具,支持JDK高版本及多种利用链动态生成。工具具备分块传输内存马、回显加密及类名随机化等防检测特性,支持无侵入注入与目标配置修改。尽管流量较大,但其全面的利用功能与规避扫描能力使其在红队实战中具备重要价值。 综合评分: 90 文章分类: WEB安全,安全工具,红队,漏洞POC

cover_image

新Shiro反序列化漏洞一站式综合利用工具

FightingLzn9 FightingLzn9

夜组安全

2026年1月22日 08:02 福建

免责声明

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!所有工具安全性自测!!!VX:NightCTI

朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把夜组安全设为星标”,否则可能就看不到了啦!

工具介绍

ShiroExploit,是一款Shiro反序列化漏洞一站式综合利用工具。

工具功能

1、区分ShiroAttack2,采用分块传输内存马,每块大小不超过4000。

2、可打JDK高版本的shiro,确保有key、有gadget就能rce。

3、依托JavaChains动态生成gadget,实现多条利用链,如CB、CC、Fastjson、Jackson。

4、通过魔改MemshellParty的内存马模板,使其回显马通信加密,去除一些典型的特征。

5、借助JMG的注入器,加以魔改,实现无侵入性,同一个容器可同时兼容多种类型的内存马。

6、对内存马和注入器类名进行随机化和Lambda化处理,规避内存马主动扫描设备的检测。

7、可以更改目标配置,如改Key、改TomcatHeaderMaxSize。

8、采用URLDNS链和反序列化炸弹的方式来探测指定类实现利用链的探测。

9、缺点是流量相对大一些。

功能演示

JDK18场景下实现命令执行和打入多种内存马。

跑key。

探测利用链。

命令执行。

打入Godzilla内存马(支持Behinder内存马)。

打入SUO5V2内存马。

支持Tomcat10及以上的内存马。

工具获取

点击关注下方名片进入公众号

回复关键字【260122】获取下载链接

往期精彩

[【红队】一款专业的多协议漏洞利用与攻击模拟平台

2026-01-21

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496145&idx=1&sn=38b1287a667573c09ed4f056afc64b4c&scene=21#wechatredirect)[流量之眼 – 智能被动漏洞扫描平台

2026-01-20

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496127&idx=1&sn=b2e9109847a88c84ac808305babaeb8a&scene=21#wechatredirect)[XSS 漏洞练习靶场,覆盖反射型、存储型、DOM 型、SVG、CSP、框架注入、协议绕过等多种场景

2026-01-19

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496120&idx=1&sn=f2153c748593255cb40ae6f8e50a3ab8&scene=21#wechatredirect)[一款自动化403/401绕过工具 | 请求头注入、谓词篡改等多种实战技巧

2026-01-16

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496113&idx=1&sn=6e48fa8ac465f65cffbe9753de1b9c7f&scene=21#wechatredirect)[Burp Suite插件 | 高级HTTP头修改安全头来绕过安全限制、不同来源或设备的请求

2026-01-12

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496101&idx=1&sn=731e9d4fa9782a4bfdcc8622d4bf16b9&scene=21#wechatredirect)

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:夜组安全 FightingLzn9 FightingLzn9《新Shiro反序列化漏洞一站式综合利用工具》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0