红队利器 | 一款批量爆破Shiro Key的工具(附下载)
2022-12-20 17:40:1 Author: EchoSec(查看原文) 阅读量:26 收藏

0x01 前言

批量对存在Shiro框架的目标爆破Key。

对于任何版本的Shiro框架,只要Key泄露了,就依旧存在漏洞。

0x02 使用教程

-f 批量目标路径 (default "target.txt")
-fk key文件路径 (default "key.txt")
-m 发送请求的模式GET/POST (default "get")
-p设置POST请求参数,例如:username=admin&password=123456,只有POST请求的时候这个参数才有效
-proxy 代理设置,支持http/socks5/socks4
-rm 密钥关键字 (default "rememberMe")
-t 同一时间内爆破多少个目标 (default 10)
-tk 同一个时间内爆破目标多少个Key (default 10),建议设置为10,防止把网站给跑崩溃
-o 保存爆破结果目录,为空表示不保存结果 (default "output")
-x 如果需要添加其他状态码则逗号分隔(502,500),爆破Key的时候过滤状态码防止爆破速度过快导致误报 (default "502")

运行效果如下:

0x03 获取方式


  1. 阅读原文即可获取项目地址

  2. 点击下方名片回复"shirokey"获取


文章来源: http://mp.weixin.qq.com/s?__biz=MzU3MTU3NTY2NA==&mid=2247486921&idx=1&sn=9389108f9009dd82a0fb645c2c08d4ee&chksm=fcdf51d6cba8d8c05f1d16a6c9f17d205c87a0054d56ec9ca45323fe86aa59c131ce6a58d956#rd
如有侵权请联系:admin#unsafe.sh