目录
- 1 工具下载
- 2 依靠环境安装
- 3 使用
1 工具下载
- shiro综合利用漏洞综合利用工具v2.2下载: 链接:https://pan.baidu.com/s/1kvQEMrMP-PZ4K1eGwAP0_Q?pwd=zbgp 提取码:zbgp
- 下载其他工具: 除工具外,github还有其他大佬贡献的各种工具,有很多python编写工具,功能简单,可作为理解shiro漏洞原理和自己工具的教材。
2 依靠环境安装
- :shiro综合利用漏洞综合利用工具v2.2是采用java需要使用编写的java8环境来解析
- :可在官网下载java8安装包,根据自己的系统情况选择合适的安装包。如果是,win按网盘链接下载64系统:https://pan.baidu.com/s/1Yg7fq5_5zOMR6UphAA896w?pwd=e7hk 提取码:e7hk。
- 。右键刚下载exe安装包,以管理员方式运行,建议采用默认选项。
- 。如下图新增JAVA HOME参数设置值为java并在path参数中新增两个值。
- 。按win R弹出cmd窗口,输入命令
java -version,查看回显版本是否如下图所示,以1.8开头说明安装成功。 - 对于原先有安装其他版本导致无法查询到Java8、请另找教程解决。
3 使用
- 找到刚下载的shiro综合利用漏洞综合利用工具v2.2”,解压,打开文件夹,可以看到里面有一个jar文件和文件夹,文件夹中的文件存储key的字典。
- 输入文件夹地址栏cmd并返回车辆,打开终端,此时终端的路径定位在文件夹中。
- 输入命令
java -jar shiro_attack-2.2.jar,以java该文件的环境执行。 - 弹出工具窗口如下。
- 后续复现过程中反映了具体的使用方法。