文章总结： 本文介绍了一款名为Hyacinth的Java漏洞集合工具。该工具集成了Struts2、Fastjson、Shiro、Log4j等常见Java漏洞的检测利用模块，以及免杀webshell生成功能。其payload经过混淆具备绕过WAF能力，旨在解决攻防演练中频繁切换工具的痛点。文中建议在JDK8u181环境下运行以确保功能稳定。 综合评分： 70 文章分类： 安全工具,WEB安全,渗透测试,漏洞POC

JAVA漏洞集合工具

dmd5安全 dmd5安全

dmd5安全

2026年3月6日 15:48 江西

简介

hyacinth是一款java漏洞集合工具，之前攻防的时候，总是需要打开多个jar包，觉得很麻烦，就做了一款集合工具。

其中包含Struts2、Fastjson、Weblogic（xml）、Shiro、Log4j、Jboss、SpringCloud、等漏洞检测利用模块，及免杀webshell生成模块 Bypass、以及一些小工具模块等，由于图形化比较简明易懂，所以也不需要使用说明吧 。

本项目的部分payload进行了一些混淆，具备一定过waf能力

注：开发环境8u181，此版本可稳定运行，太高 如8u281会出现部分功能失效，如shiro的链爆破，如果发现有问题，可通过cmd运行jar包观察报错，大部分是因为jdk版本导致的

工具截图

项目地址

https://github.com/pureqh/Hyacinth?tab=readme-ov-file

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：dmd5安全 dmd5安全 dmd5安全《JAVA漏洞集合工具》