Releases: SummerSec/ShiroAttack2
修复低版本jdk不兼容的问题
修复自定义请求bug,支持复杂请求头
fix bug
4.5.4
4.5.3
4.5.3 不在采用加载lib的方式去处理不同cb版本的问题,而是采用suuid字段修改的方式。
4.5.3 版本修改了冰蝎内存马的问题,参考 rebeyond/Behinder#187 和https://github.com/Y4er/ysoserial/blob/main/src/main/java/ysoserial/payloads/templates/SpringInterceptorTemplate.java
4.5.2tomcat 回显执行命令修复版本
修复注入内存马时出现sun.net.www.protocol.http.HttpURLConnection$HttpInputStream@1a1bc158 问题
去除掉特征
去掉文章中https://xz.aliyun.com/t/10746特征
- 新版本的判断方式,是在返回包添加了host头
- 新版本注入内存马dy改成user=
- 优化了发包请求
直接替换jar就行,其他文件请下载老版本。
: )之前的想改特征来着,忘记了
4.5.1
1、增加通用的过waf方式,默认没有开启
com/summersec/attack/deser/frame/Shiro.java:47
2、增加30个user agent随机使用
com/summersec/attack/utils/UserAgentUtil.java
com/summersec/attack/utils/HttpUtil.java:83
改变所有302为不跟随
3、修改密钥确认,减少误报
com/summersec/attack/core/AttackService.java:290
4、增加多个shiro时的爆破方式和“检测当前密钥“
com.summersec.attack.core.AttackService#keyTestTask2 、com/summersec/attack/core/AttackService.java:255
5. 内存马模块增加AddDllfliter内存马
主要是上传dll自动加载
感谢@whami-root 提交pr
添加DFS算法回显
添加生成key的功能
添加生成key的功能