Home

Awesome

ShiroScan

Shiro<=1.2.4反序列化,一键检测工具

2021·1·15:
改动内容:1.删除CC8利用链
改动内容:2.新增xray总结的k1到k4这4个利用链
改动内容:3.新增Jdk8u20的利用链
改动内容:4.新增GCM加密发包

过往:
改动内容:1.新增17个利用链模块,共28个利用链,预计增加成功率30%,已打包成新ysoserial的jar包,请勿更换
改动内容:2.可直接获得目标使用key值
改动内容:3.新增30个key(再多意义也不大)
改动内容:4.输入命令自动进行bash编码,防止未了解此漏洞的人踩坑,但要注意的是如果执行的命令为携带``符号,常用于dnslog外带命令,需自行传入bash编码,否则终端会自行将本地执行结果带入命令中
共集成51个key进行fuzz

本着尽可能的检测目标是否存在漏洞为目的所开发,并未对利用链进行大量删减

不推荐当做exp使用,效率问题

内置的yso的jar包存在tomcat回显链,并未集成到工具中,初衷是漏洞检测工具,有条件的可自行生成payload,header加入cmd:whoami即可

仅供安全人员验证,测试是否存在此漏洞