Features:

• 新增 shiro 漏洞检测插件 (仅高级版)，支持 RememberMe 反序列化漏洞检测
  • 内置独家 Java 反序列化利用链，有效作用于 shiro 环境
  • 内置 Payload 支持全版本 Tomcat 回显，Tomcat 6,7,8,9 均通过测试
  • 借助反连平台可以完美支持非 Tomcat 环境的漏洞检测
  • 完整转置 ysoserial 至 Go 代码，无需 Java 依赖即可运行
  • 自带 shiro 100 key，且支持通过配置文件自定义 shiro key
• 基于端口复用技术，合并 RMI 与 HTTP 服务，简化部署成本
• baseline 插件新增手机号泄露检测，需手动开启 detect_china_phone_number
• 子域名 html 报告按 500 条分报告写入，防止数据太大打不开 https://github.com/chaitin/xray/issues/792
• 新增下列社区贡献 POC，已经打包到二进制中，目前共计 170 POC，完整使用需删除配置文件并重新生成
  • poc-yaml-apache-flink-upload-rce
  • poc-yaml-aspcms-backend-leak
  • poc-yaml-citrix-cve-2020-8191-xss
  • poc-yaml-consul-rexec-rce
  • poc-yaml-consul-service-rce
  • poc-yaml-f5-tmui-cve-2020-5902-rce
  • poc-yaml-nexus-default-password
  • poc-yaml-qnap-cve-2019-7192
  • poc-yaml-spring-cloud-cve-2020-5410

Bugfixes:

• 修复 baseline 插件 header 值大小写误报问题 https://github.com/chaitin/xray/issues/796
• POC 语法中，header 的 key 改为大小写不敏感
• 修复两个 POC 的误报问题
  • poc-go-tongda-arbitrary-auth
  • joomla-cnvd-2019-34135-rce.yml

Changes:

• 配置文件、证书文件、授权文件都从 xray 二进制所在目录加载而不是 shell 当前目录