文章总结： ShiroAttack2Bypass1.1版本主要优化了Cookie处理机制、提升性能稳定性、完善利用链兼容性、增强Header绕过能力并改进用户体验。具体更新包括合并多行Cookie、修复慢读超时问题、适配JDK9+环境、采用JDK6字节码实现JDK7兼容、增加界面缩放功能等。该工具主要用于ApacheShiro反序列化漏洞的检测与利用。 综合评分： 82 文章分类： 安全工具,WEB安全,渗透测试,漏洞分析,红队

ShiroAttack2 Bypass 1.1版本更新

原创

凌曦安全 凌曦安全

凌曦安全

2026年4月15日 11:18 重庆

在小说阅读器读本章

去阅读

更新日志

1. Cookie：合并多行 Cookie、避免 hutool 多头发 rememberMe 被丢；主标签与子标签请求方式对齐。
2. 性能：主标签统一 hutool、修复慢读与超时，界面操作放到后台线程，避免卡死。
3. 利用链：去掉误注入 Base64 的 insertSpecialChars；类加载兼容 JDK 9+；Gadget 解析与原版对齐。
4. Header 绕过：动态类改为 JDK6 字节码，目标 JDK7 可加载；回显改走响应头 X-C，不写 Body，减少 500；混淆勾选即始终混淆，超长只提示不自动关。
5. 体验：绕过页 UI 可缩放；子标签识别「密钥/利用链」时同时认输入框和下拉框，不必重复爆破。
6. 以及一些其他bug。

地址：

https://github.com/lingxisec/ShiroAttack2_bypass

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：凌曦安全 凌曦安全 凌曦安全《ShiroAttack2 Bypass 1.1版本更新》