ShiroExploit v2.51 Final

1. 增加 2 种新的回显方式 TomcatEcho2, JBossEcho，将 WeblogicEcho1 和 WeblogicEcho2 进行了合并
2. 默认不启用 WindowEcho，Use with caution
3. Shiro550VerifierUsingEcho 回退到 URLDNS 方法时，由原先的使用 ceye.io 修改为使用 dnslog.cn
4. 增加对设置 Http 代理的支持
5. 增加 About 按钮

ShiroExploit v2.5 Final

1. 反编译了网上流传的 xary 的 gadget，参考其 tomcat echo 的代码对原本的 tomcat 回显代码进行优化
2. 对 AutoFindRequest LinuxEcho WindowsEcho 的代码进行优化

ShiroExploit v2.43 Final

1. 针对一个误报case：在使用反序列 SimplePrincipalCollection 方式寻找 key 时，即使 key 正确，也非常罕见的依然返回 rememberMe=deleteMe 的情况进行优化
2. 修复使用默认 User-agent（Java/版本号）导致的漏报case
3. 当使用 ceye.io/dnslog.cn/jrmp 方式时，当使用反序列化 SimplePrincipalCollection 方式未找到 key 时，回退到 URLDNS 的方式，以最大程度的减少漏报

ShiroExploit v2.42 Final

修复一个误报case

case描述：key错误的时候返回2个 deleteMe，key正确的时候返回一个 deleteMe，导致误报

ShiroExploit v2.41 Final

1. 使用反序列化 SimplePrincipalCollection 的方式检测有效 key，提升检测效率
2. 剔除 keys.conf.big 中无效的 key
3. 修改 DNSLog.cn 无法访问时错误的提示语

ShiroExploit v2.4 Final

1. 增加对多种回显方式的支持
2. 为 Shiro721 添加回显支持
3. 为 Shiro721 利用 Padding Oracle 生成 cookie 过程增加容错机制
4. Shiro721 不需要再选择操作系统
5. 修复自定义 rememberMe cookie 名称时，Shiro 721 验证出错的 bug
6. 检测到漏洞后，反弹 shell 或者 部署 webshell 修改为下拉框的方式
7. 为使用 ceye/dnslog/jrmp 的方式提供获取 webshell 的支持
8. 修改起始 UI，增加对 Key/Gadget/EchoType 的手工指定，支持多选
9. 参考 https://xz.aliyun.com/t/6227 缩小 ysoserial 生成的 payload 的体积
10. 更新 keys.conf.big（感谢AgeloVito提供）
11. 为 Shiro721 部分回显方式生成的 Cookie 提供缓存支持
12. 执行命令时，如果存在多个 Gadget/EchoType，随机选择一个

ShiroExploit v2.3

1.将 DNSLog.cn 集成到程序中，与 ceye 互为补充
2.修改 JRMP 检测逻辑，与 DNSLog.cn 相结合，不再需要人工干预
3.增加回显功能
4.开始界面增加手工指定 Key 和 Gadget 功能
5.检测 Shiro550 不再需要选择操作系统类型

ShiroExploit v2.21

1. 增加手动选择目标系统操作系统（linux/windows）的选项，提升检测效率
2. 略微修改起始界面的尺寸和 UI
3. 修改路径中存在空格或者特殊字符时导致检测失败的bug
4. 新增一个 keys.conf.big 文件（感谢AgeloVito提供），供使用者选用

ShiroExploit v2.2

1.修复之前漏洞检测失败的bug
2.修复关闭窗口后程序依然运行的bug
3.增加反弹shell的功能
4.增加使用第三方（ceye.io）之外DNSLog平台检测key的功能
5.优化UI，增加等待效果
6.使用 https://github.com/wh1t3p1g/ysoserial 替代原有的 ysoserial.jar，增加 PayloadType
7.其他小改动

ShiroExploit v2.11

完善对 Https 的支持