ShiroAttack2 CLI

Ce qu'il fait

ShiroAttack2 CLI est une boîte à outils en ligne de commande basée sur Java pour détecter les vulnérabilités de désérialisation rememberMe d'Apache Shiro, forcer les clés AES, exécuter des commandes, injecter des web shells en mémoire et modifier les clés Shiro cibles. Il s'exécute via un fat JAR et prend en charge la sortie JSON structurée pour l'automatisation.

Quand l'utiliser

Utilisez cette compétence lors d'évaluations de sécurité autorisées ou de tests d'intrusion lorsque vous devez : détecter si une cible utilise Shiro, vérifier ou forcer la clé AES rememberMe, exécuter des commandes via des chaînes de gadgets, injecter des shells en mémoire pour la post-exploitation (avec permission), ou tenter le remplacement de clés. Non destiné à un usage non autorisé.

Ce qui est inclus

• Scripts : aucun à l'intérieur du répertoire de la compétence, mais le dépôt fournit un fat JAR exécutable et des fichiers de données (shiro_keys.txt) pour le cassage de clés.
• Références : README du dépôt et versions GitHub Releases pour le téléchargement du JAR.
• Instructions : comment exécuter les commandes detect, crack, exec, memshell et changekey ; mode de sortie JSON pour l'automatisation ; modes AES recommandés (CBC/GCM) selon la version de Shiro.

Agents compatibles

Probablement utilisé par des intégrations d'agents axés sur la sécurité capables d'exécuter des outils CLI et d'analyser des sorties JSON (automatisation locale, outils de red-team ou intégration avec des agents d'orchestration de sécurité).