Skip to content

Releases: SummerSec/ShiroAttack2

修复低版本jdk不兼容的问题

02 Jul 06:47
Compare
Choose a tag to compare

修复自定义请求bug,支持复杂请求头

31 Aug 15:54
Compare
Choose a tag to compare

fix bug

20 Aug 02:07
Compare
Choose a tag to compare

fix bug #29

4.5.4

03 Jul 01:30
Compare
Choose a tag to compare

感谢whami-root提交的pr, #25
1、增加自定义请求头、post参数。2、优化post型shiro的探测和利用

4.5.3

24 Apr 04:24
Compare
Choose a tag to compare

4.5.3 不在采用加载lib的方式去处理不同cb版本的问题,而是采用suuid字段修改的方式。
4.5.3 版本修改了冰蝎内存马的问题,参考 rebeyond/Behinder#187https://github.com/Y4er/ysoserial/blob/main/src/main/java/ysoserial/payloads/templates/SpringInterceptorTemplate.java

4.5.2tomcat 回显执行命令修复版本

20 Jan 03:33
Compare
Choose a tag to compare

修复注入内存马时出现sun.net.www.protocol.http.HttpURLConnection$HttpInputStream@1a1bc158 问题

去除掉特征

19 Jan 09:22
Compare
Choose a tag to compare

去掉文章中https://xz.aliyun.com/t/10746特征

  1. 新版本的判断方式,是在返回包添加了host头
  2. 新版本注入内存马dy改成user=
  3. 优化了发包请求
    直接替换jar就行,其他文件请下载老版本。
    : )之前的想改特征来着,忘记了

4.5.1

18 Jan 05:54
Compare
Choose a tag to compare

1、增加通用的过waf方式,默认没有开启
com/summersec/attack/deser/frame/Shiro.java:47
2、增加30个user agent随机使用
com/summersec/attack/utils/UserAgentUtil.java
com/summersec/attack/utils/HttpUtil.java:83
改变所有302为不跟随
3、修改密钥确认,减少误报
com/summersec/attack/core/AttackService.java:290
4、增加多个shiro时的爆破方式和“检测当前密钥“
com.summersec.attack.core.AttackService#keyTestTask2 、com/summersec/attack/core/AttackService.java:255
5. 内存马模块增加AddDllfliter内存马
主要是上传dll自动加载
感谢@whami-root 提交pr

添加DFS算法回显

13 Dec 06:06
Compare
Choose a tag to compare

添加DFS算法回显,在tomcat回显失败的情况下,可以手动选中ALLECHO回显。大大减少了有key无gadget的情况,但这种情况会延迟很高。
建议更新!
建议更新!
建议更新!

添加生成key的功能

13 Dec 06:02
Compare
Choose a tag to compare

添加生成key的功能