甲方人员Shiro漏洞检测工具

高能预警

本工具适用于甲方安全人员进行漏洞检测，切勿非法使用，如果使用者进行恶意破坏，笔者概不负责，且一经查实，必向相关安全机关上报，切记，切记~

工具下载

下载地址：https://github.com/feihong-cs/ShiroExploit_GUI/releases

工具使用

按要求输入要检测的目标URL和选择漏洞类型：

• Shiro550无需提供rememberMe Cookie
• Shiro721需要提供一个有效的rememberMe Cookie

• 如果选择和CEYE配合使用，则无需进行任何配置，程序中已经内置了CEYE域名和对应的Token，即使多人同时使用，也不会存在干扰问题。
• 如果选择和自实现的OOB Service配合使用，则需要通过命令java -cp ShiroExploit.jar com.shiroexploit.server.BasicHTTPServer [HttpSerivce Port] [JRMPListener Port]开启OOB Service，并按照要求填入相应IP和端口
• 如果开启OOB Service时未指定端口号，则HTTPService默认监听8080端口，JRMPListener默认监听8088端口

• 程序在判断目标应用是否存在漏洞时，命令输入框无法进行输入。当程序检测出目标应用存在漏洞时，命令输入框可以进行输入并执行命令。

使用说明

在使用漏洞检测主程序或者使用OOBService时，均需要ysoserial.jar的支持，将ysoserial.jar和ShiroExploit.jar放置在同一目录即可。