相关动态
shiro漏洞工具简单配置
2024-11-11 10:37

工具地址:https://github.com/feihong-cs/ShiroExploit

shiro漏洞工具简单配置

使用环境:java8

运行命令:java -jar ShiroExploit.jar

配置ceye域名和对应的 Token

当然工具中默认配置的有对应的域名和token值,如果当访问的人过多时,难免会有一些问题导致检测不准确,这里可以自己手动配置自己对应的域名和token值。

打开config目录下的config/config.properties文件,内容为

rememberMecookieName=rememberMe ceyeDomain=xxxxx.ceye.io ceyeToken=xxxxxxxbdb36c8d1d99a2a1 JRMPRequestDelay=2 fetchDNSLogResultDealy=5

将ceyeDomain和ceyeToken替换成自己的域名和token。到http://ceye.io/注册后,会获得相应的域名和token值。

检测的时候就可以用ceye.io进行检测,自己也能实时的查看。在这里也推荐使用ceye.io进行检测,少数时候 dnslog.cn 会间隔较久才显示 DNS 解析结果导致程序无法找到 Key 或者有效的 Gadget,且 dnslog.cn 只会记录最近的10条 DNS 解析记录。

cookie标识符的配置

我们知道shiro框架最明显的特征就是返回的cookie中有rememberMe这个字样,拓展一下,如果返回的cookie有xxxrememberMe字样是不是也有可能是shiro框架,而shiro检测工具只默认检测含有rememberMe在返回包的数量来确定漏洞,打开config/config.properties文件,修改rememberMecookieName=rememberMe为实际遇到的cookie内容,例如rememberMecookieName=xcbgv-rememberMe等。

key值的配置

shiro漏洞最重要的就是这个key值,这个shiro漏洞检测工具默认情况下只会检测config/keys.conf下的这个值,打开后不难发现这个key值才几十个。

在这里有两种方法来进行配置,第一种就是在网上找shiro有关的key值然后自己把它复制到这个keys.conf文件里面;第二种方法在config/keys.conf.big文件中给出了170多个key值,一般够用了,在我们检测的时候勾选该选项就可以调动里面的key值。

webshell配置

config/shell.jsp文件式shiro工具上传webshell时默认的木马文件路径,当然这里也是可以修改的,这里你可以修改成冰蝎马,哥斯拉,蚁剑等你想上传的类型。

jrmp+dnslog检测

最常用就是ceye.io和dnslog检测,这里主要讲一下使用jrmp+dnslog进行检测,因为该检测方式能够明显的减小cookie大小,并且经过测试发现检测的时间间隔明显变大,发包的频率明显减慢,对于这个过程可以自行抓包进行对比。这对绕waf是有一些作用。

  1. vps输入启动命令:java -cp ShiroExploit.jar com.shiroexploit.server.BasicHTTPServer [HttpSerivce Port] [JRMPListener Port]

  2. 选择检测方式

  3. 效果

使用ceye或者dnslog检测所对应的cookie值

使用jrmp检测所对用的cookie值

    以上就是本篇文章【shiro漏洞工具简单配置】的全部内容了,欢迎阅览 ! 文章地址:http://gzhdwind.xhstdz.com/news/6823.html 
     栏目首页      相关文章      动态      同类文章      热门文章      网站地图      返回首页 物流园资讯移动站 http://gzhdwind.xhstdz.com/mobile/ , 查看更多   
最新文章
百度竞价的价格排名如何查看?切实有效的查询途径
百度竞价的价格排名如何查看?切实有效的查询途径:百度推广账户后台中关键词的价格近似于真实出价的价格,而且在账户的后台,存
防止人肉搜索/保护个人隐私,Google Voice教程/GV号小白使用经验分享
    最近一段时间,大家上网越来越注重个人隐私了,我当然也一样。    就在今年早些时候,我微博账号被冻结,创建新号的
掌握百度收录规则:优质内容与创新性助力网站成功收录
百度收录有其特定的规则,这对网站制作人员和内容制作者来说极为关键。掌握这些规则,能让更多人的目光落在自己的网页或文章上。
搜狐简单AI:开启AI绘画和文生图的新时代,提升创作效率
在一个充满竞争的数字时代,许多创作者深感压力,尤其是那些需要频繁生产高质量内容的个体。在这样的背景下,AI技术的崛起为创造
AI大模型与网球运动结合的应用场景及案例分析
        AI大模型与网球运动结合的未来前景是广阔的,它不仅能够提升运动员的训练和比赛表现,还能改善教练
最值得一看的精品网站之一,你绝不能错过!
在现代网络文学的浪潮中,精品小说层出不穷,吸引了无数读者的目光。推荐几部不可错过的网络佳作:首先是《全职高手》,讲述了电
郑州SEO优化攻略,揭秘助力企业网络飞跃的策略精髓
郑州SEO网络优化推广,为企业提供专业网络策略,提升网站排名,增强品牌曝光度。通过精准关键词、高质量内容、优化用户体验,助
揭秘网站刷关键词排名软件,效果与风险并存
随着互联网的飞速发展,网络营销已经成为企业推广产品和服务的重要手段,在众多网络营销策略中,提高网站在搜索引擎中的关键词排
科大讯飞AI智能写作:全方位助力文案创作与优化,解决多种写作需求
在数字化浪潮的推动下智能写作成为了提升工作效率、优化内容品质的关键工具。科大讯飞智能写作以其强大的语言解决能力和丰富的创
支付宝小程序搜索排名优化,算法规则基础了解
小程序市场可谓是百花齐放,争奇斗艳。小程序搜索排名优化则为小程序获利提供了强大的支持。做优化首先要知道平台的规则&#
相关文章