java反序列化工具_Java反序列化终极测试工具|

最新推荐文章于 2024-08-20 10:56:40 发布
最新推荐文章于 2024-08-20 10:56:40 发布
阅读量4k 收藏 1
点赞数 1
文章标签: java反序列化工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39928818/article/details/114037377
版权

java反序列化终极测试工具是一款测试可以检测java反序列化漏洞的检测软件,用户通过软件可以很轻松的将java反序列化漏洞给找出来,其操作性也非常的简单,感兴趣的朋友快来IT猫扑下载吧!

Java反序列化漏洞产生的原因

在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:

HTTP请求中的参数,cookies以及Parameters。

RMI协议,被广泛使用的RMI协议完全基于序列化

JMX 同样用于处理序列化对象

自定义协议 用来接收与发送原始的java对象

在序列化过程中会使用ObjectOutputStream类的writeObject()方法,在接收数据后一般又会采用ObjectInputStream类的readObject()方法进行反序列化读取数据。其代码示例如下:

java反序列化漏洞利用工具

90aac8334c8038a678ced63f9440ac2d.png

结果如图:

75bbe7278e5510500e664dc0a4a68bcc.png

上述代码中的java类ObjectInputStream在执行反序列化时并不会对自身的输入进行检查,意味着一种可能性,即恶意攻击者构建特定的输入,在ObjectInputStream类反序列化之后会产生非正常结果。而根据最新的研究,利用这一方法可以实现远程执行任意代码。

为了进一步说明,可以针对对上述代码进行了一点修改

6fed003435dd619cfd3a9b19226315a4.png

结果:

464b3cf7bae0770a8cb958bdc73322c5.png

主要修改为自定义了一个被序列化的对象myobject,通过定义myobject实现了java序列化的接口并且定义了一种名为“readObject”的方法。通过对比上面例子的输出,可以发现反序列化的相关数值被修改了,即执行的用户自身的代码。造成结果不同的关键在于readObject方法,java在读取序列化对象的时候会先查找用户自定义的readObject是否存在,如果存在则执行用户自定义的方法

Java反序列化终极测试工具功能介绍

1、本地命令执行并回显,无须加载外部jar包,支持纯内网环境检测。

2、支持JBoss、WebSphere和Weblogic的反序列化漏洞检测。

3、支持https数据传输。

4、支持文件目录列表。

weixin_39928818
关注
Java反序列化终极测试工具
09-17
Java反序列化终极测试工具
[Java反序列化]—Jackson反序列化
Sentiment的博客
11-12 6608
DefaultTyping类型描述说明属性的类型为Object属性的类型为Object、Interface、AbstractClass属性的类型为Object、Interface、AbstractClass、ArrayNON_FINAL所有除了声明为final之外的属性其实原理上很简单,就是在Jackson进行反序列化时执行了构造器和setter方法,造成恶意代码执行,但其实这种方式也只是本地调试了解原理用,并不适合作为实际攻击方式,真正的攻击还要看其它Jackson的调用链。
【第68课】Java安全&原生反序列化&SpringBoot攻防&heapdump提取&CVE
最新发布
Lucker_YYY的博客
08-20 1384
序列化是将Java对象转换成字节流的过程。而反序列化是将字节流转换成Java对象的过程,java序列化的数据一般会以标记()开头,base64编码的特征为rO0AB。JAVA常见的序列化和反序列化的方法有JAVA 原生序列化和JSON 类(fastjson、jackson)序列化两种方式。两种方式做的事情都是一样的,为什么要区分开来?因为利用起来有所不同fastjson、jackson等反序列化就用网上给的EXP、POC去测试。
JAVA反序列扫描工具】简介、下载、安装、使用
04-22 5136
【反序列扫描工具
fastjson 序列化 不包括转义字符_Java 反序列化工具 gadgetinspector 初窥 (上)
weixin_39899021的博客
11-20 313
作者:Longofo@知道创宇404实验室时间:2019年9月4日起因一开始是听@Badcode师傅说的这个工具,在Black Hat 2018的一个议题提出来的。这是一个基于字节码静态分析的、利用已知技巧自动查找从source到sink的反序列化利用链工具。看了几遍作者在Black Hat上的演讲视频[1]与PPT[2],想从作者的演讲与PPT中获取更多关于这个工具的原理性的东西,可是...
java反序列化终极工具_java反序列化漏洞利用工具
weixin_39787792的博客
02-13 5187
java反序列化漏洞已经被曝出一段时间了,其强大的破坏力让我们防不胜防!有没有合理的方法扫描、解决这些漏洞呢?小编给大家带来Java反序列化终极测试工具,直接将Jboss、Websphere和weblogic的反序列化漏洞的利用集成到了一起。有需要下!Java反序列化漏洞产生的原因在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:HTTP请求中的参数,coo...
Java反序列化终极测试工具.zip
04-10
在给定的资源中,“Java反序列化终极测试工具”是一个针对这一过程的安全测试工具,特别设计用于在Java 1.8环境下运行。此工具可能帮助开发者或安全研究人员检测和利用潜在的反序列化漏洞。 首先,我们需要理解Java...
java反序列化终极测试工具.zip
04-28
标题中的“java反序列化终极测试工具.zip”暗示这是一个专门针对Java反序列化漏洞进行测试的工具包。这个工具可能包含了多种针对不同应用服务器(如JBoss、Websphere、Weblogic)的测试用例,这些服务器都是企业级...
java反序列化工具
11-21
`ysoserial`是给定的压缩包文件中的一个项目,这是一个著名的Java反序列化漏洞测试工具。开发者和安全研究人员使用ysoserial来生成能够触发特定漏洞的序列化对象。这个工具可以帮助识别和测试应用程序中的反序列化...
Java反序列化终极检测工具_Jboss & Weblogic & Websphere.zip
09-05
Java反序列化终极检测工具_Jboss & Weblogic & Websphere.zip Java反序列化终极检测工具_Jboss & Weblogic & Websphere.zip
linux下java反序列化通杀回显方法的低配版实现 - 先知社区1
08-03
故事的起因技术的难点故事的起因技术的难点实现细节指定端号获取socket对应的件描述符往件描述中写数据总结这给出获取socket件描述符我的个低配版思路及实现,
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
java反序列化漏洞利用工具WebLogicExploit
01-14
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
java反序列化漏洞利用工具WebLogicExploit_weblogic图形化漏洞利用工具
09-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java
《WEB安全渗透测试》(36) JAVA反序列化工具ysoserial使用介绍
午夜安全
05-31 1835
作者介绍:ysoserial是一款用于生成利用不安全的Java对象反序列化的有效负载的概念验证工具。ysoserial其实就是工具,集合了各种java反序列化的payload,利用它可以方便的测试反序列化漏洞。
Java反序列化之ysoserial URLDNS模块分析
javajavajava
11-19 1213
前言 Java反序列化漏洞 利用时,总会使用到ysoserial这款工具,安服仔用了很多,但是工具的原理却依旧不清不楚,当了这么久的脚本仔,是时候当一波(实习)研究仔,学习下这款工具各个Payload的原理了,下面我们先从漏洞探测模块URLDNS这个Payload开始学起,逐步衍生到漏洞利用模块。 为什么URLDNS模块会发送DNSLOG请求? 分析 下载ysoserial项目,打开pom.xml,程序入口在ysoserial.GeneratePayload 打开GeneratePayloa.
对象序列化,反序列化 工具
magic55574的博客
12-07 189
import java.io.*; public class SerializeUtil { public static byte[] serialize(Object obj) { ObjectOutputStream obi = null; ByteArrayOutputStream bai = null; try { bai = new ByteArrayOutputStream(); obi
java 反序列化终极测试工具运行
12-29
Java 反序列化终极测试工具是一个用于检测和测试Java应用程序的反序列化漏洞的工具。它通过利用Java反序列化漏洞来测试目标系统的安全性,帮助开发人员和安全研究人员找出潜在的安全风险并及时修复。 该工具的运行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值