强烈建议Java8启动！

ShiroExploit，是一款Shiro反序列化漏洞一站式综合利用工具。

基本概述如下：

1、区分ShiroAttack2，采用分块传输内存马，每块大小不超过4000。

2、可打JDK高版本的shiro，确保有key、有gadget就能rce。

3、依托JavaChains动态生成gadget，实现多条利用链，如CB、CC、Fastjson、Jackson。

4、通过魔改MemshellParty的内存马模板，使其回显马通信加密，去除一些典型的特征。

5、借助JMG的注入器，加以魔改，实现无侵入性，同一个容器可同时兼容多种类型的内存马。

6、对内存马和注入器类名进行随机化和Lambda化处理，规避内存马主动扫描设备的检测。

7、可以更改目标配置，如改Key、改TomcatHeaderMaxSize。

8、采用URLDNS链和反序列化炸弹的方式来探测指定类实现利用链的探测。

9、缺点是流量相对大一些。

JDK18场景下实现命令执行和打入多种内存马。

跑key。

探测利用链。

命令执行。

打入Godzilla内存马（支持Behinder内存马）。

打入SUO5V2内存马。

支持Tomcat10及以上的内存马。

1、此工具仅限于安全研究，用户承担因使用此工具而导致的所有法律和相关责任!作者不承担任何法律责任!

2、由于传播、利用此工具所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任!

3、使用本工具进行任何未经授权的网络攻击或渗透测试等行为均属违法，使用者需自行承担相应的法律责任。