1.使用shiro_tool.jar工具
(1)利用java环境下的 shiro_tool.jar工具进行漏洞利用,在所在文件夹使用cmd,并执行
java -jar shiro_tool.jar http://120.77.253.209:32214/
输入1,反弹shell
(2)接着可以,x=ls,输入命令了
2.利用burp插件
(1)在burp里面导入插件shiroPoc-0.5-SNAPSHOT-jar-with-dependencies.jar
(2)接下来就可以scan了
主要关注红色高危信息
也可以使用payload,
可以选择cmd执行命令
(3)放到重放模块(方便执行),点击generate shiro payload就可以自动添加payload,并执行cmd
