java审计之Ysoserial

最新推荐文章于 2025-04-25 11:11:10 发布
原创 最新推荐文章于 2025-04-25 11:11:10 发布 · 434 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

Ysoserial

ysoserial 是一个安全测试工具,专门用于生成 Java 序列化漏洞的有效负载。它可以帮助安全研究人员和渗透测试人员利用 Java 应用程序中的序列化漏洞进行安全测试。这个工具通过利用常见的 Java 序列化库和相关的类,生成能够触发远程代码执行(RCE)等攻击的有效负载。

git地址

https://github.com/frohoff/ysoserial
  1. 下载jar包

image-20240519113007606

  1. 生成payload
java -jar target/ysoserial-[version]-all.jar [payload] '[command]'

image-20240519121046889

例子:(生成负载并保存在txt里面)

  1. 生成负载
java -jar ysoserial-all.jar CommonsCollections7 "calc&#
最低0.47元/天 解锁文章
Java代码审计】代码审计的方法及常用工具
大河之犬的博客
05-10 2195
Eclipse 是 Java 开发者非常喜欢的工具之一,它具有强大的编辑、调试功能,允许开发人员安装不同的插件,从而拓展不同的功能。Burp Suite 是渗透测试工作者必备的一款工具,同时对于代码审计者和安全研究人员来说,这也是一款比较重要的测试工具,其跨平台、便捷、强大的功能以及丰富的插件,深受信息安全从业者的喜爱。Ysoserial 是一款开源的 Java 反序列化测试工具,内部集成有多种利用链,可以快速生成用于攻击的代码,也可以将新公开的反序列化漏洞利用方式自行加入 Ysoserial 中。
Java代码审计】反序列化漏洞篇
大河之犬的博客
03-25 1324
发送方必须将要发送的 Java 对象序列化为字节流,接收方则需要将字节流再反序列化,还原得到 Java 对象,才能实现正常通信。当攻击者输入精心构造的字节流被反序列化为恶意对象时,就会造成一系列的安全问题。在 Java 原生的API 中,序列化的过程由类的方法实现,反序列化过程由类的方法实现。将字节流还原成对象的过程都可以称作反序列化,例如,JSON 串或 XML 串还原成对象的过程也是反序列化的过程。同理,将对象转化成 JSON 串或 XML 串的过程也是序列化的过程。
ysoserial.jar
04-08
java反序列化工具ysoserial (jenkins,weblogic,jboss等的代码执行利用工具)
Java反序列化工具ysoserial使用
热门推荐
st3pby的博客
12-20 1万+
ysoserial是一款用于生成 利用不安全的Java对象反序列化 的有效负载的概念验证工具。项目地址主要有两种使用方式,一种是运行ysoserial.jar 中的主类函数,另一种是运行ysoserial中的exploit 类,二者的效果是不一样的,一般用第二种方式开启交互服务。
ysoserial 的安装和配置教程
最新发布
gitblog_00552的博客
04-25 469
ysoserial 的安装和配置教程 ysoserial A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization. ...
Java反序列化漏洞(ysoserial工具使用、shiro反序列化利用)
qq_50854662的博客
05-26 2322
Java反序列化漏洞(ysoserial工具使用、shiro反序列化利用)
ysoserial下载
12-26
java反序列化漏洞检测工具,可以自动生成playload,测试用的 有需要的同学拿去用
反序列化测试工具 ysoserial-master-v0.0.5 打包
05-21
用法 java -cp ysoserial-master-v0.0.5 ysoserial.exploit.RMIRegistryExploit 192.168.192.118 1099 CommonsCollections1 "notepad.exe"
代码审计-ysoserial-C3P0分析
cdyunaq的博客
11-22 292
介绍 C3P0是一个开源的JDBC连接池,它实现了数据源和JNDI绑定,支持JDBC3规范和JDBC2的标准扩展。目前使用它的开源项目有Hibernate、Spring等。 基础使用 先看看ysoserial中需要的依赖是啥,方便后期调试也可以用 Pom.xml <!-- https://mvnrepository.com/artifact/com.mchange/c3p0 --> <dependency> <groupId>com.mchange&.
Java代码审计漏洞挖掘(入门)
Ms08067安全实验室
11-10 4883
出品|MS08067实验室(www.ms08067.com)双十一最有意义的事情莫过于是学习一门高级渗透技术了!代码审计属于高级渗透测试服务的一环,顾名思义就是检查源代码中的安全缺陷,检查...
探索YSOserialJava反序列化漏洞利用工具
gitblog_00024的博客
04-18 553
探索YSOserialJava反序列化漏洞利用工具 ysoserialysoserial修改版,着重修改ysoserial.payloads.util.Gadgets.createTemplatesImpl使其可以通过引入自定义class的形式来执行命令、内存马、反序列化回显。项目地址:https://gitcode.com/gh_mirrors/yso/ysoserial YSOserial...
ysoserial-all.jar
08-04
ysoserial的最终版,兼容之前所有版本。放心食用。
ysoserial反序列工具包
04-19
ysoserial反序列工具包,个人觉得还是很好利用 Java rmi 基本还很顺手
ysoserial-0.0.4-all.jar
09-17
ysoserial-0.0.4-all.jar系统自动生成分数,我也改不了,分数不够的可以联系我私发。
ysoserial-0.0.5-all.jar
08-27
ysoserial-0.0.5-all.jar反序列化漏洞利用,jar可以直接使用
java安全——ysoserial工具URLDNS链分析
网络安全
09-08 1899
本篇我们将学习ysoserial工具的URLDNS链,相对于前面学习的CC链来说,URLDNS链就比较简单了。 URLDNS是ysoserial工具用于检测是否存在Java反序列化漏洞的一个利用链,通过URLDNS利用链可以发起一次DNS查询请求,从而可以验证目标站点是否存在反序列化漏洞,并且该利用链任何不需要第三方依赖,也没有JDK版本的限制。 但是URLDNS利用链也只能用于发起DNS查询请求,也不能做其他事情,因此URLDNS链更多的是用于POC检测。 有了前面的基础,这里直接上URLD
java反序列化工具ysoserial.jar浅析
qq_50854662的博客
02-13 831
java反序列化工具ysoserial.jar浅析
Java安全学习笔记--基于ysoserial反序列化利用工具CC2和CC5链构造方式的思考
m0_64685672的博客
02-02 2621
前言:ysoserial反序列化利用工具的CC5链和CC6链的利用链核心都还是LazyMap+ChainedTransformer,两条利用链通过TideMapEntry的toString和hashCode方法来触发核心利用链,最终触发get方法 把三个方法放一块 public V getValue() { return this.map.get(this.key);//这里的this.map就是我们的LazyMap } //LazyMap的get方法: public V get(Object
Java反序列化漏洞工具ysoserial-master分析
6. 安全审计和代码分析:了解如何使用ysoserial工具对Java应用程序进行安全审计,检测潜在的安全问题,并对代码进行静态和动态分析,以发现漏洞。 7. 安全社区和资源:意识到ysoserial工具和Java反序列化安全问题的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值