JAVA反序列化exp及使用方法

最新推荐文章于 2024-10-10 07:29:43 发布
最新推荐文章于 2024-10-10 07:29:43 发布
阅读量1.2w 收藏 7
点赞数
分类专栏: 渗透测试 文章标签: java websphere jboss 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cd_xuyue/article/details/50243689
版权

这两天很火的java反序列化漏洞,看到乌云大牛已经开始刷分,于是找来实践一波

exp来源

ysoserial

https://github.com/frohoff/ysoserial

这个项目针对不同的java产品给出了简单的漏洞利用脚本.
其中weblogic和jenkins提供python脚本,但需自己加载payload.
而对于jboss和websphere则提供了poc的数据包.
更多信息在:foxglovesecurity.com

foxlovesec

https://github.com/foxglovesec/JavaUnserializeExploits

java项目,用于生成payload,配合前面的漏洞利用脚本使用,便可完成exp.

iswin

http://www.iswin.org/2015/11/13/Apache-CommonsCollections-Deserialized-Vulnerability/
- 随风师傅分析漏洞原理&

最低0.47元/天 解锁文章
Xyntax
关注
专栏目录
初识Java反序列化
m0_71563599的博客
06-04 1637
研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。大致内容如下:序列化和反序列化示例序列化数据组成解构反序列化漏洞形成原理序列化: 将程序运行时所需要的Java对象转化为字节序列并存储在文件系统中,一般为.ser后缀的文件,ObjectOutputStream.writeObject()方法可以将对象序列化。反序列化: 将存储在文件系统的字节序列转化成对象供程序使用,ObjectInputStream.readObject()方法可以将字节
ShiroExp-1.3.1-all.jar shiro反序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro反序列化检测工具 我这里是用于搭建攻防演练演示环境用
Java反序列化漏洞利用工具(全)
09-14
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以……
Java反序列化漏洞利用工具(WebLogic&Jboss;)
10-10
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Java反序列化终极测试工具
2401_86855609的博客
08-24 461
今天给大家分享个我自己收集的Java反序列化终极测试工具。
ysoserial:Java反序列化漏洞利用工具
gitblog_00636的博客
09-02 452
ysoserial:Java反序列化漏洞利用工具 ysoserial项目地址:https://gitcode.com/gh_mirrors/ysos/ysoserial 项目介绍 ysoserial是一个用于生成利用不安全Java对象反序列化的有效载荷的概念验证工具。它最初在2015年的AppSecCali会议上发布,随后不断更新,增加了对更多库的支持。ysoserial包含了一系列在常见Jav...
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
Java反序列化漏洞利用工具(WebLogic&Jboss
01-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Java反序列化工具.zip
05-31
Java反序列化是一种将之前序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方法。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络传输中将对象从一个系统传输到另一个...
Java反序列化入门之URLDNS链1
08-03
本文将深入探讨Java反序列化的基本概念、相关方法、以及如何利用ysoserial工具进行漏洞利用,特别关注URLDNS链的原理和构建。 首先,Java反序列化是指将已序列化的对象数据恢复为原来的对象状态。在Java中,序列化...
Java反序列化漏洞利用工具(joomla)
01-01
Java反序列化漏洞利用工具(joomla版本)亲测可用,直接GETSHELL以及执行命令没问题
java反序列化漏洞利用工具
01-14
1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境
Java反序列化漏洞利用集成工具
03-22
Java反序列化漏洞利用集成工具
java反序列化漏洞利用工具WebLogicExploit
01-14
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
java序列化_技术干货 | JAVA反序列化漏洞
weixin_39876739的博客
11-14 193
目录反序列化漏洞序列化和反序列化JAVA WEB中的序列化和反序列化对象序列化和反序列范例JAVA中执行系统命令重写readObject()方法Apache Commons Collections反序列化漏洞payloadJAVA Web反序列化漏洞的挖掘和利用由于本人并非JAVA程序员,所以对JAVA方面的知识不是很懂,...
Java反序列化漏洞利用工具:JBossExploit
最新发布
gitblog_00167的博客
10-10 878
Java反序列化漏洞利用工具:JBossExploit Java-Deserialization-Exploit 项目地址: https://gitcode.com/gh_mirrors/ja/Java-Deserializat...
探索`ysoserial`: Java反序列化漏洞利用工具
gitblog_00083的博客
04-24 489
探索ysoserial: Java反序列化漏洞利用工具 去发现同类优质开源项目:https://gitcode.com/ ysoserial是一个开源项目,位于,专为Java开发者和安全研究人员设计,用于测试和识别Java应用程序中的反序列化漏洞。通过模拟潜在的恶意对象序列化,它可以帮助你更好地理解和防止此类安全隐患。 项目简介 在软件开发中,序列化是将对象状态转换为可存储或传输的形式的过程,而反...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值