亲测免费！ShiroAttack2：2024终极Shiro漏洞利用工具，零基础也能轻松上手

ShiroAttack2是一款针对Shiro550反序列化漏洞的强大综合利用工具，能够帮助安全测试人员快速检测和验证目标系统中的安全隐患。该工具修复了原版中NoCC的问题，集成了命令执行回显、内存马注入等核心功能，是网络安全从业者必备的渗透测试利器。

✨为什么选择ShiroAttack2？核心优势解析

1️⃣ 零基础友好的可视化界面

工具采用JavaFX构建直观图形界面，无需复杂命令行操作，新手也能快速掌握。只需简单配置目标URL和参数，即可启动漏洞检测流程，大大降低了Shiro漏洞利用的技术门槛。

2️⃣ 全面的漏洞利用能力

• 多版本CommonsBeanutils支持：覆盖主流依赖版本的Gadget链，应对不同目标环境
• 创新DFS算法回显：通过AllECHO功能实现更稳定的命令执行结果返回
• 内存马注入模块：支持多种内存马类型，包括小马模式，适应不同场景需求
• 密钥爆破功能：内置高效密钥字典，可自动检测目标系统使用的Shiro密钥

3️⃣ 灵活的定制化选项

支持自定义请求头（格式：abc:123&&&test:123）、修改rememberMe关键词、配置代理等高级功能，满足复杂测试环境需求。特别添加修改ShiroKey功能（通过内存马方式），虽然可能导致业务异常，但为特殊场景提供了解决方案。

🚀快速开始：3步上手ShiroAttack2

1️⃣ 环境准备

确保系统已安装Java运行环境，通过以下命令克隆项目仓库：

git clone https://gitcode.com/gh_mirrors/sh/ShiroAttack2

2️⃣ 目录配置

在工具JAR文件同级目录创建data文件夹，并在其中创建shiro_keys.txt文件，填入可能的Shiro密钥列表。工具会自动读取该文件进行密钥检测。

3️⃣ 启动工具

直接运行最新版JAR文件：

java -jar shiro_attack-{version}-SNAPSHOT-all.jar

📚进阶使用指南

内存马功能详解

内存马模块提供多种注入方式，具体使用方法可参考项目文档：docs/FAQ.md。使用时需注意，部分功能可能影响目标系统稳定性，请在授权测试环境中谨慎操作。

常见问题解决

• 工具运行卡顿：4.5版本引入的ALLEcho功能使用DFS算法，可能存在延迟，建议手动选择利用链而非爆破
• 环境依赖问题：项目lib目录已包含CommonsBeanutils各版本依赖，无需额外配置
• 回显异常：尝试切换不同的回显模式（如TomcatEcho、SpringEcho）适配目标环境

⚠️安全责任与免责声明

该工具仅用于合法授权的安全自查检测。由于传播、利用此工具所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。未经授权，严禁用于任何非法攻击活动。

🛠️技术架构与扩展

工具核心代码位于src/main/java/com/summersec/attack/目录，主要包含：

• 加密模块：Encrypt/
• 反序列化Payload：deser/payloads/
• 内存马插件：deser/plugins/

开发者可基于此架构扩展新的利用链或功能模块，贡献代码到项目社区。

---

无论是安全初学者还是专业渗透测试人员，ShiroAttack2都能提供高效、稳定的Shiro漏洞检测能力。通过持续更新和社区支持，该工具已成为Shiro漏洞利用领域的标杆产品，助力安全从业者更好地保护网络系统安全。