文章总结： ShiroExploit是一款针对Shiro-550反序列化漏洞的综合测试工具，通过分块传输、动态链生成和通信加密技术解决传统工具在高版本JDK兼容性、流量检测规避和内存马存活率方面的痛点。工具支持密钥爆破、多类型利用链探测、命令执行以及打入Godzilla/SUO5V2等多种加密内存马，适用于Tomcat10+环境并具备类名随机化以规避安全检测。文档提供了工具获取方式及完整实战操作演示。 综合评分： 78 文章分类： 漏洞分析,安全工具,WEB安全,渗透测试,红队

ShiroExploit：一款Shiro反序列化漏洞一站式综合测试工具

原创

网安工具库 网安工具库

网安工具库

2026年5月19日 23:40 湖南

在小说阅读器读本章

去阅读

更多干货  点击蓝字 关注我们

注：本文仅供学习，坚决反对一切危害网络安全的行为。造成法律后果自行负责！

往期回顾

·LovelyERes：AWD适用的蓝队综合工具

·CialloVOL：一键内存文件提取的全面取证工具

·FTK Imager：内存镜像加载和分析的蓝队必备工具

·LeakDetector：一款自动化敏感信息搜集工具

·能帮你做各种类型题目CTF的Ai自动化测试工具

·安全研究与渗透测试一体化安全评估工具–HackingTool

介绍

    ShiroExploit是一款针对Shiro-550漏洞的高级综合利用工具，其核心设计思路是通过分块传输、动态链生成和通信加密等技术，解决传统工具（如ShiroAttack2）在高版本JDK、流量检测、内存马存活等方面的痛点。

    基本概述如下：

1、区分ShiroAttack2，采用分块传输内存马，每块大小不超过4000。2、可打JDK高版本的shiro，确保有key、有gadget就能rce。3、依托JavaChains动态生成gadget，实现多条利用链，如CB、CC、Fastjson、Jackson。4、通过魔改MemshellParty的内存马模板，使其回显马通信加密，去除一些典型的特征。5、借助JMG的注入器，加以魔改，实现无侵入性，同一个容器可同时兼容多种类型的内存马。6、对内存马和注入器类名进行随机化和Lambda化处理，规避内存马主动扫描设备的检测。7、可以更改目标配置，如改Key、改TomcatHeaderMaxSize。8、采用URLDNS链和反序列化炸弹的方式来探测指定类实现利用链的探测。9、缺点是流量相对大一些。

工具获取

获取地址：

https://github.com/FightingLzn9/ShiroExploit/releases/tag/ShiroExploit_1.0.2

点击ShiroExploit-1.0.2.jar即可下载获取工具。

下载完成后直接在终端中输入，即可启动工具：

java -jar ShiroExploit-1.0.2.jar

功能

JDK18场景下实现命令执行和打入多种内存马：

    爆破密钥：

    探测利用链：

    命令执行：

    打入Godzilla内存马（支持Behinder内存马）：

打入SUO5V2内存马：

    支持Tomcat10及以上的内存马：

我获取了一个存在漏洞的靶场，并将这个靶场输入到工具中：

可以看到首先输出了：存在Shiro框架！但当前密钥不正确！尝试更换加密方式再进行测试。

此时可以点击右上角的“爆破密钥”，可以看到：注意！！！发现正确Key: kPH+bIxk5D2deZiIxcaaaA==

此时将爆破得到的密钥输入到密钥框，点击“漏洞检测”，即可看到：注意！存在Shiro框架并且当前密钥是正确的！！请尽情地Shell目标吧！！

然后可以做一些其他操作，比如这里我打入一个内存马：

设置好内存马类型，路径和密码，即可点击“打入内存马”，然后看到下面的提示信息。

然后就可以在客户端填入url地址和密码，测试连接。

连接成功后，你就获得了目标服务器的文件管理、虚拟终端、数据库操作等一系列控制权限，这意味着已经成功在这个靶场上完成了漏洞利用。

交流群

我们创建了交流群，一起来交流吧！！！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安工具库 网安工具库 网安工具库《ShiroExploit：一款Shiro反序列化漏洞一站式综合测试工具》