ysoserial Java反序列化漏洞利用实践

最新推荐文章于 2024-05-22 11:24:20 发布
最新推荐文章于 2024-05-22 11:24:20 发布
阅读量3.2k 收藏 7
点赞数 1
分类专栏: 全栈网络安全 渗透测试 代码审计 网络安全工具开发 文章标签: java 开发语言 jvm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35029061/article/details/126151168
版权

ysoserial这款工具,堪称为“java反序列利用神器”。

一、ysoserial下载与安装

下载

从github上直接下载
git clone https://github.com/frohoff/ysoserial.git

编译

根据github上的编译提示,会出现编译错误

Requires Java 1.7+ and Maven 3.x+
mvn clean package -DskipTests

错误信息如下,主要是因为在pom.xml缺少commons-io的依赖:

在pom.xml的dependencies标签里添加依赖项:

        <dependency>
            <groupId>commons-io</groupId>
            <artifactId>commons-io</artifactId>
            <version>2.4</version>
        </dependency>

再次执行mvn clean package -DskipTests,编译成功在target目录下生成相对应的jar包。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
wespten
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
ysoserial:一种概念验证工具,用于生成利用不安全的Java对象反序列化的有效负载
02-03
约瑟 概念证明工具,用于生成利用不安全的Java对象反序列化的有效负载。 描述 最初作为AppSecCali 2015讲座一部分发布,其中包含Apache Commons Collections(3.x和4.x),Spring Beans / Core(4.x)和Groovy( 2.3.x)。 后来进行了更新,以包括和其他几个库的其他小工具链。 ysoserial是在通用Java库中发现的实用程序和面向属性的编程“小工具链”的集合,这些工具库可以在适当的条件下利用Java应用程序对对象执行不安全的反序列化。 主驱动程序接受用户指定的命令,并将其包装在用户指定的小工具链中,然后将这些对象序列
ysoserial-all.jar
08-04
ysoserial的最终版,兼容之前所有版本。放心食用。
探索`ysoserial`: Java反序列化漏洞利用工具
gitblog_00083的博客
04-24 400
探索ysoserial: Java反序列化漏洞利用工具 项目地址:https://gitcode.com/comwrg/ysoserial ysoserial是一个开源项目,位于GitCode,专为Java开发者和安全研究人员设计,用于测试和识别Java应用程序中的反序列化漏洞。通过模拟潜在的恶意对象序列化,它可以帮助你更好地理解和防止此类安全隐患。 项目简介 在软件开发中,序列化是将对象状态转换...
探索Java安全边界:YSOserial - 构建任意序列化漏洞利用工具
gitblog_00056的博客
03-20 399
探索Java安全边界:YSOserial - 构建任意序列化漏洞利用工具 项目地址:https://gitcode.com/frohoff/ysoserial 项目简介 YSOserial 是一个开源项目,由著名的安全研究者 Jörg Schmidt (@frohoff) 创建,主要用于测试和生成Java对象的序列化数据。在软件安全领域,这个工具扮演着重要的角色,因为它可以帮助开发者识别和修复他们...
ysoserial下载和使用
最新发布
c0529的博客
05-22 244
因为要用java打开jar格式的,所以如果下的是源文件,还需要打包,我试了试,我这个报错了,我也不知道哪里有问题。如果不报错可以自己试试打包的工作,说不定以后还有用到。所以我的建议是直接下载jar版本的。然后直接用java去运行就可以了。网址拖到下面就可以直接下载。
红队专题-反序列化攻击-Tools-Ysoserial
aming小老弟
01-12 667
利用方式Ysoserial.Net 来⽣成反序列化 payload,再通过调⽤远程⽅法来触发反序列化,实现任意代码执⾏,从⽽导致服务器被接管。payload 举例。
java序列化理解_对ysoserial工具及java反序列化的一个阶段性理解
weixin_39615808的博客
02-24 284
经过一段时间的琢磨与反思,以及重读了大量之前看不懂的反序列化文章,目前为止算是对java反序列化这块有了一个阶段性的小理解。目前为止,发送的所有java反序列化的漏洞中。主要需要两个触发条件:1、反序列化的攻击入口2、反序列化的pop攻击链这两个条件缺一不可。网上大量分析gadgets的文章方法,让人误以为有攻击链就可以反序列化。其实这块是有一定的误导性的。在我最初研究反序列化的时候,我觉得攻击链...
java反序列化工具ysoserial.jar浅析
谢公子的博客
07-19 8682
ysoserial.jar ysoserial是集合了各种java反序列化payload的工具,项目地址:https://github.com/frohoff/ysoserial
反序列化工具ysoserial使用介绍
qq_34778376的博客
02-23 6418
反序列化工具ysoserial使用介绍 0x00 ysoserial是什么? ysoserial集合了各种java反序列化payload; 下载地址:https://github.com/angelwhu/ysoserial 0x01 基本使用方法 在公网vps上执行: java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 【port】 CommonsCollections1 '【commands】'
小白看得懂的MySQL JDBC 反序列化漏洞分析 - 先知社区1
08-03
在特定版本的MySQL JDBC驱动(如mysql-connector-java 8.0.12)中,存在一个反序列化漏洞,攻击者可以利用这个漏洞执行任意代码,从而对系统造成严重威胁。 #### JDBC简介 JDBC提供了一组接口和类,使得Java应用...
第03篇:Shiro 反序列化漏洞利用汇总1
08-03
本文主要关注Shiro中的两个安全漏洞,一个是RememberMe反序列化漏洞(Shiro-550),另一个是Padding Oracle Attack(Shiro-721),以及如何进行自动化漏洞利用。 1. Shiro RememberMe反序列化漏洞(Shiro-550) 这...
ysoserial下载
12-26
java反序列化漏洞检测工具,可以自动生成playload,测试用的 有需要的同学拿去用
ysoserial,用于生成利用不安全Java对象反序列化的有效负载的概念验证工具。.zip
10-13
用于生成利用不安全Java对象反序列化的有效负载的概念验证工具。
最新版ysoserial-0.0.6-SNAPSHOT-BETA-all.jar
07-23
github已经不怎么好下载的,作者已经把文件上传到其他的平台,刚刚使用的时候遇到了一点问题,要将原文件名改正确了之后才能用。
Weblogic+XML反序列化漏洞检查工具CVE-2017-10271+V1.2
05-21
好用的Weblogic XML 反序列化漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
信息安全技术:Java反序列化漏洞.pptx
11-01
在2015年1月28日,Gabriel Lawrence和Chris Frohoff在AppSecCali会议上展示了如何利用Apache Commons Collections库来实现Java反序列化漏洞的任意代码执行。然而,这个发现并未立即引起广泛注意,直到同年11月,...
Java-Deserialization-Scanner:Burp Suite的多合一插件,用于检测和利用Java反序列化漏洞
05-13
Exploiter,允许使用frohoff ysoserial( )积极利用Java反序列化漏洞。 作者 @ Mediaservice.net的安全顾问Federico Dotta 贡献者 杰里米·戈德斯坦 安德拉斯·韦雷斯·森特基拉利 迷你演练(24/05/17) 可以在...
Shiro_exploit:Apache Shiro Java反序列化漏洞的分析和利用
03-10
Apache Shiro Java反序列化进攻分析及利用0x00项目地址0x01概述两者天被派去去护网&重保,态势感知报告了一条冰蝎的远程代码执行的纠正,在通过日志以及webshel​​l及相关信息,红队大概是通过shiro反序列化拿到...
java反序列化漏洞检测工具
09-14
1. Ysoserial:这是一个开源项目,它提供了一组用于测试和利用Java反序列化漏洞的Payloads。你可以使用这些Payloads生成恶意的序列化数据,并检测应用程序是否对此类攻击有防范措施。 2. FindSecBugs:这是一个基于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wespten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值