文章总结： ShiroExploit通过分块传输、动态Gadget、加密回显、随机化类名等手法绕过WAF与蓝队监控，支持JDK18+、Tomcat10+及多型内存马，可改Key与HeaderMaxSize，用URLDNS链与反序列化炸弹探测利用链，流量略大但实战免杀效果显著 综合评分： 88 文章分类： 渗透测试,红队,漏洞分析,安全工具,WEB安全

ShiroExploit_通过另类手法实现Shiro一把梭

原创

ptr ptr

UpRoot

2026年1月21日 08:30 江苏

前言

攻防博弈发展至今，常规工具的流量特征早已被安全设备精准标记、清晰识别，也正因如此，各类经二次开发、魔改后的工具应运而生。

目前很多关于Shiro反序列化漏洞利用的工具是基于@SummerSec所写的ShiroAttack2魔改来的，这一类工具因为打内存马的方式、以及内存马模板都没有动，包括探测利用链的方式、跑Key的方式都原封不动，导致ShiroAttack2有啥问题，以此魔改的工具就有啥问题。

ShiroAttack2明显的流量特征如下有：

1、请求头中有Authorization: Basic d2hvYW1p后面是命令的Base64，回显结果被$$$包含。

2、其采用内存马分离加载，请求头中有内存马的密码和请求路径，回显出现->|Success|<-字样。

这样特征很容易被安全设备标记，蓝队看监控看着设备弹出来告警后，你可能连持久化还没做就被关站下线了。

SummerSec师傅写的这款工具很具有实战价值、参考学习价值，但他已经快三年没有更新这款工具了，很多已知bug仍未修复，或许内部有更完善的版本并未开源出来。就针对目前的版本来说，对我而言，确实用来不是很顺手。

为了避免重复造轮子，因此我决定通过不一样的利用方式写一个我顺手的工具出来。

ShiroExploit

ShiroExploit，是一款Shiro反序列化漏洞一站式综合利用工具。

基本概述如下：

1、区分ShiroAttack2，采用分块传输内存马，每块大小不超过4000。

2、可打JDK高版本的shiro，确保有key、有gadget就能rce。

3、依托JavaChains动态生成gadget，实现多条利用链，如CB、CC、Fastjson、Jackson。

4、通过魔改MemshellParty的内存马模板，使其回显马通信加密，去除一些典型的特征。

5、借助JMG的注入器，加以魔改，实现无侵入性，同一个容器可同时兼容多种类型的内存马。

6、对内存马和注入器类名进行随机化和Lambda化处理，规避内存马主动扫描设备的检测。

7、可以更改目标配置，如改Key、改TomcatHeaderMaxSize。

8、采用URLDNS链和反序列化炸弹的方式来探测指定类实现利用链的探测。

9、缺点是流量相对大一些。

功能演示

JDK18场景下实现命令执行和打入多种内存马。

跑key。

探测利用链。

命令执行。

打入Godzilla内存马（支持Behinder内存马）。

打入SUO5V2内存马。

支持Tomcat10及以上的内存马。

项目地址：https://github.com/FightingLzn9/ShiroExploit

期待这款工具，能够给你带来新的体验。

在无人问津的地方训练。

• END –

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：UpRoot ptr ptr《ShiroExploit_通过另类手法实现Shiro一把梭》