burpsuite写JAVA_1020.Burp Suite扩展之Java-Deserialization-Scanner

最新推荐文章于 2024-05-17 10:00:21 发布
最新推荐文章于 2024-05-17 10:00:21 发布
阅读量245 收藏
点赞数
文章标签: burpsuite写JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42510225/article/details/114764018
版权
本文介绍了Java反序列化漏洞的基本概念,以及如何使用Burp Suite的扩展Java Deserialization Scanner进行检测和利用。文章详细讲解了插件的安装、配置和测试过程,包括对未编码和编码过的序列化对象的测试案例。
摘要由CSDN通过智能技术生成

Java反序列化漏洞简介

Java序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,Java中的 ObjectOutputStream 类的writeObject()方法可以实现序列化。

Java反序列化即逆过程,由字节流还原成对象。ObjectInputStream类的readObject()方法用于反序列化。

因此要利用Java反序列化漏洞,需要在进行反序列化的地方传入攻击者的序列化代码。如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。

下面结合一些demo介绍一款用于 检测和简单利用 java 反序列化漏洞的burpsuite 扩展: Java Deserialization Scanner。

插件安装

该插件可以在 burp Suite 的 BApp Store 中安装 , 安装好后需要配置 ysoserial(一款java反序列化漏洞payload生成器) 的路径。

192015d91efcf2704282c9ebcb151287.png

你可以自己从github上下载源码,编译。或者使用我刚编译的: https://pan.baidu.com/s/1eSxPPQi   密码: nxv4. 放到 burpsuite.jar 同一目录,然后填上文件名即可(如上图所示)。

插件测试

插件作者很贴心,不仅写了个这么棒的插件,还附带了很多示例。我以 sampleC

最低0.47元/天 解锁文章
芰荷神明子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
burp suite java_1020.Burp Suite扩展Java-Deserialization-Scanner
weixin_33746819的博客
02-15 465
Java反序列化漏洞简介Java序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,Java中的ObjectOutputStream类的writeObject()方法可以实现序列化。Java反序列化即逆过程,由字节流还原成对象。ObjectInputStream类的readObject()方法用于反序列化。因此要利用Java反序列化漏洞,需要在进行反序列化的地方传入攻击者的序列化代码...
1020.Burp Suite扩展Java-Deserialization-Scanner
weixin_30408675的博客
01-21 233
Java反序列化漏洞简介 Java序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,Java中的ObjectOutputStream类的writeObject()方法可以实现序列化。 Java反序列化即逆过程,由字节流还原成对象。ObjectInputStream类的readObject()方法用于反序列化。 因此要利用Java反序列化漏洞,需要在进行反序列化...
探索Java反序列化漏洞:Java Deserialization Scanner
最新发布
gitblog_00016的博客
05-17 316
探索Java反序列化漏洞:Java Deserialization Scanner 项目地址:https://gitcode.com/federicodotta/Java-Deserialization-Scanner 项目简介 Java Deserialization Scanner是一个强大的Burp Suite插件,专为检测和利用Java反序列化漏洞而设计。由HN Security的首席安全...
Java-Deserialization-Scanner:Burp Suite的多合一插件,用于检测和利用Java反序列化漏洞
05-13
Java反序列化扫描器 Java反序列化扫描程序是一个Burp Suite插件,旨在检测和利用Java反序列化漏洞。 它由@ Mediaservice.net的安全顾问Federico Dotta编。 该插件由三个不同的组件组成: 与Burp Suite主动和被动扫描仪集成 手动测试器,用于检测自定义插入点上的Java反序列化漏洞 Exploiter,允许使用frohoff ysoserial( )积极利用Java反序列化漏洞。 作者 @ Mediaservice.net的安全顾问Federico Dotta 贡献者 杰里米·戈德斯坦 安德拉斯·韦雷斯·森特基拉利 迷你演练(24/05/17) 可以在以下URL上找到简短的文章,其中包含有关如何使用插件的各种组件的迷你演练: : 与Burp Suite主动和被动扫描仪集成 Java反序列化扫描程序使用由frohoff和gebl
burpsuite插件之Java Deserialization Scanner使用方法1
08-03
1.鼠标邮件发送要测试的反序列化数据到 Manual testing 2.选择测试方式,进行测试 3.假如测试出来了,鼠标右键发送到 exploiting 模块
burpsuite_pro_v2022.2.5.jar
04-23
burpsuite_pro_v2022.2.5.jar
burpsuite_pro_windows-x64_v2021_8_2.exe
09-01
2021 burpsuite_pro_windows-x64 安装文件
Burp Suite 社区版(burpsuite_community_windows-x64_v2022_5_1.exe)
06-20
Burp Suite 社区版(burpsuite_community_windows-x64_v2022_5_1.exe)适用于Windows系统,Burpsuite用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的...
burpsuite_community_windows-x64_v2022_2_4.exe
04-03
burpsuite_community_windows-x64_v2022_2_4.exe适用于Windows系统,Burpsuite用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一...
burpsuite_pro_v1.7.08.zip
02-28
burp Suite是响当当的web应用程序渗透测试集成平台。从应用程序攻击表面的最初映射和分析,到寻找和利用安全漏洞等过程,所有工具为支持整体测试程序而无缝地在一起工作。 平台中所有工具共享同一robust框架,以便...
JAVA反序列扫描工具】简介、下载、安装、使用
04-22 5056
【反序列扫描工具】
java反序列化漏洞及其检测
YTANRA的博客
09-01 428
Java 序列化是指把 Java 对象转换为字节序列的过程,序列化后的字节数据可以保存在文件、数据库中;而Java 反序列化是指把字节序列恢复为 Java 对象的过程。如下图所示:序列化和反序列化通过和方法实现。在java中任何类如果想要序列化必须实现}其实是一个空接口,在java中该接口的唯一作用是对一个类做一个标记让jre确定这个类是可以序列化的。这两个函数不是的接口函数,而是约定的函数,如果一个类实现了这两个函数,那么在序列化和反序列化的时候和会主动调用这两个函数。...
java反序列化漏洞POP查找_利用 Java 反序列化漏洞在受限环境下获取反向 Shell
weixin_30045091的博客
03-08 454
原标题:利用 Java 反序列化漏洞在受限环境下获取反向 Shell 原文链接:https://medium.com/abn-amro-red-team/java-deserialization-from-discovery-to-reverse-shell-on-limited-environments-2e7b4e14fbef原文作者:Ahmed Sherif@_ahmadsherif(推特)...
java中的scaner_Java中的Scanner
weixin_36471865的博客
02-27 457
Java 5添加了java.util.Scanner类这是一个用于扫面输入文本的新的实用程序。1、注意使用Scanner sc=new Scanner(System.in);时要引入java.util.Scanner;Scanner是一个类,要使用new来创建对象;我们只是用这个类里面的方法来通过用户输入。所以Scanner非常的重要2、用户输入后要有一个Sc里面的方法来接收用户输入的比如sc.n...
(38)【JAVA反序列化漏洞】简介、原理、工具、环境、靶场、思路
04-23 3768
【专题】JAVA反序列化
1-15 Burpsuite Sequencer介绍
山兔的博客
12-03 4121
Burpsuit Sequencer介绍 Burp Sequencer作为Burp Suite中一款用于检测数据样本随机性质量的工具,通常用于检测访问令牌是否可预测、密码重置令牌是否可预测等场景,通过Sequencer不断发包,抓取对应的token值等等这些随机令牌的样本,然后进行数据分析,能很好地降低这些关键数据被伪造的风险。 如果令牌被伪造了。恶意攻击者通过伪造令牌,执行密码重置或者是访问的操作,从而造成一定损失 这个是我们使用Sequencer进行数分析的进度条 Reliability:它这里抓取的
fastjson反序列化漏洞原理及利用
weixin_43769253的博客
07-29 6938
fastjson反序列化漏洞原理及利用
JBoss5.x6.x反序列化漏洞(CVE-2017-12149)复现学习
hklearner的博客
03-29 2164
JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)复现学习 该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。 漏洞概要 漏洞名称 JBOSSAS5.x/6.x反序列化命令执行漏洞 威胁类型 远程命令执行 威胁等级 高 漏洞ID CVE-2017-12149 受影响系统及应
java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_jar_not_found.jar
10-05
引用:打开burpsuite的jar文件时遇到了一些问题。你可以尝试以下两种方法来解决: 方法1:进入放有burpsuite的jar文件的文件夹,点击地址栏,将地址栏清空并输入cmd。在弹出的命令窗口中输入之前burp-loader-keygen.jar打开后的loader command(例如:java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v2.0beta.jar),然后按回车执行。这个步骤是为了运行burpsuite。如果在输入cmd后命令窗口自动打开了burp-loader-keygen.jar导致无法操作,那么可以尝试下一种方法。 方法2:使用cd命令进入burpsuite的jar文件所在的目录,并执行java -jar命令(例如:java -jar burpsuite_jar_not_found.jar)来打开burpsuite。 引用:如果在执行方法2时遇到了错误提示“-Xbootclasspath/p is no longer a supported option”,可以尝试以下解决方法。 引用:用命令行打开.jar文件的方法是输入java -jar以及.jar文件的路径(例如:java -jar C:\path\to\burpsuite_jar_not_found.jar)。 至于你提到的java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_jar_not_found.jar,我没有在引用中找到相关信息。或许你可以尝试以上的两种方法来解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值