文章总结： ShiroExploit2026新版集成化工具支持Shiro反序列化一键检测与利用，通过分块传输、动态Gadget链、随机化内存马注入及加密回显等技术，可在JDK18及Tomcat10+环境稳定RCE并植入Godzilla、Behinder、SUO5V2等多型内存马，具备改Key、改配置、流量探测等附加功能，缺点是流量偏大。 综合评分： 82 文章分类： 红队,渗透测试,安全工具,WEB安全,漏洞POC

红队利器 | 2026New更新Shiro一键综合利用Tools（附下载）

FightingLzn9 FightingLzn9

EchoSec

2026年1月22日 10:24 北京

免责声明

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！所有工具安全性自测！！！

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把常看的号“设为星标”，否则可能就看不到了啦！

#

工具介绍

#

ShiroExploit，是一款Shiro反序列化漏洞一站式综合利用工具。

工具功能

1、区分ShiroAttack2，采用分块传输内存马，每块大小不超过4000。2、可打JDK高版本的shiro，确保有key、有gadget就能rce。3、依托JavaChains动态生成gadget，实现多条利用链，如CB、CC、Fastjson、Jackson。4、通过魔改MemshellParty的内存马模板，使其回显马通信加密，去除一些典型的特征。5、借助JMG的注入器，加以魔改，实现无侵入性，同一个容器可同时兼容多种类型的内存马。6、对内存马和注入器类名进行随机化和Lambda化处理，规避内存马主动扫描设备的检测。7、可以更改目标配置，如改Key、改TomcatHeaderMaxSize。8、采用URLDNS链和反序列化炸弹的方式来探测指定类实现利用链的探测。9、缺点是流量相对大一些。

实战利用

#

JDK18场景下实现命令执行和打入多种内存马。

跑key。

命令执行。

打入Godzilla内存马（支持Behinder内存马）。

打入SUO5V2内存马。

支持Tomcat10及以上的内存马。

工具获取

点击关注下方名片进入公众号

回复关键字【26Shiro】获取下载链接

 往期回顾

1111

1. ☆☆☆☆☆ | CVE-2023-33246 RCE漏洞（附EXP）

2. ☆☆☆☆☆ | 横向移动与域控权限维持方法总汇

3. ☆☆☆☆☆ | Apache HTTPd最新RCE漏洞复现

4. ☆☆☆☆☆ | CNVD-2023-34111 RCE漏洞（附EXP）

5. ☆☆☆☆☆ | Cobalt Strike免杀脚本生成器|cna脚本|bypassAV

6. ☆☆☆☆☆ | MySQL数据库利用姿势

7. ☆☆☆☆☆ | phpMyAdmin漏洞利用汇总

8. ☆☆☆☆☆| 泛微E-Mobile任意文件上传漏洞（附EXP）

9. ☆☆☆☆☆ | 小技巧~用一条命令来隐藏反向Shell

10. ☆☆☆☆☆ | New免杀ShellCode加载器（附下载）

11. ☆☆☆☆☆ | 红队攻防 | 解决HW被疯狂封IP姿势～（附下载）

12. 

    关注我

    获得更多精彩

    

13. 觉得内容不错，就点下“赞”和“在看”

14. 如侵权请私聊公众号删文

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：EchoSec FightingLzn9 FightingLzn9《红队利器 | 2026New更新Shiro一键综合利用Tools（附下载）》