漏洞的复现和工具的使用案例地址:http://t.csdn.cn/vWhje。
工具可以探测到IP是否具有shiro反序列化漏洞,可以检测(shiro550和shiro721)两种漏洞。
ShiroExploit v2.51 Final
1. 增加 2 种新的回显方式 TomcatEcho2, JBossEcho,将 WeblogicEcho1 和 WeblogicEcho2 进行了合并
2. 默认不启用 WindowEcho, Use with caution
3. Shiro550VerifierUsingEcho 回退到 URLDNS 方法时,由原先的使用 ceye.io 修改为使用 dnslog.cn
4. 增加对设置 Http 代理的支持
5. 增加 About 按钮
6. 反编译了网上流传的 xary 的 gadget,参考其 tomcat echo 的代码对原本的 tomcat 回显代码进行优化
7. 对 AutoFindRequest LinuxEcho WindowsEcho 的代码进行优化
