使用 Fuzztag 一键爆破反序列化链

原创 已于 2023-11-03 14:13:52 修改 · 540 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#开发语言 #网络安全 #负载均衡

于 2023-11-03 14:13:33 首次发布

使用 Fuzztag 一键爆破反序列化链

背景

Yakit 新增的 Yso-Java-Hack 功能可以让我们生成反序列化利用的 payload ,通过图形化的方式简化了生成 payload 的过程,但发包过程由于需要针对不同的目标站点对 payload 进行编码,所以这部分留给了用户,自行通过Yak进行编码和发包。
......还是要写代码。在@rr师傅的建议下,我为 Fuzztag 增加了几个新标签,方便一键爆破利用链。

新增标签

新增了几个标签:yso:exec、yso:urldns、yso:headerecho、yso:bodyexec、headerauth、yso:dnslog,方便大家进行反序列化漏洞的简单手工测试。如果需要更复杂的漏洞利用,可以使用 Yso-Java Hack 生成 hex 格式 payload ,然后使用 hexdec 标签在Fuzztag中调用。

命令执行

yso:exec标签用于命令执行测试,参数是需要执行的命令。这里介绍下命令执行链的分类,可以分为代码执行链和命令执行链,命令执行链是通过反射调用RuntimeExec执行的,而代码执行链可以加载任意java代码执行,所以代码执行链可以实现更多操作。

URLDNS

yso:urldns标签用于反序列化漏洞检测。参数是一个url,其原理是通过URL对象反序列化时触发dns查询。

DNSLOG

yso:dnslog标签用于dns出网的利用链爆破。它有两个参数,第一个参数是一个域名,第二个参数是域名前缀。第一个参数是必填参数,第二个参数是可选的,后面会介绍使用方法。原理上是通过

最低0.47元/天 解锁文章
YakProject
关注
Yso-Java Hack 进阶:利用反序列化漏洞打内存马
YakProject的博客
11-03 545
Yso-Java Hack 帮我们完成了很多需要代码操作的事情,而且支持自定义恶意类,可扩展性还是很强的,希望本篇文章可以给师傅们一些新思路,提高工作效率。
使用 Fuzztag 一键爆破反序列化2.0
YakProject的博客
11-03 231
希望yso系列标签能让各位师傅使用的更加顺手、提高盲打的效率,师傅们使用时可以根据目标出网情况,是否有代码执行去判断,可以参考上一篇文章的流程图。如果有可代码执行的,可以根据出网情况选择打入内存马、直接上线cs或其它操作,需要打入内存马时可以使用 Yso-Java Hack 直接生成hex格式的payload,然后使用hexdec标签调用就可以了。
高效开发Java 反序列化漏洞 POC
YakProject的博客
11-24 1326
首先在yakit内置dnslog服务申请一个域名,再打开webfuzzer,使用yso:dnslog标签配合dnslog域名爆破可用,如图,右侧可以看到payload为:CommonsCollections3 dnslog evil class xxx.dgrh3.cn,在yakit右上角的 "漏洞与风险" 收到了反连提醒,说明目标成功加载了class。yaklang的java基础设施基本可以满足编写POC、EXP的需求,可以使用yakit的反连、Yso-Java Hack辅助脚本编写,可以提升效率。
新功能史上最好用的反连&JavaHack,安全能力基座强化ing
白帽黑客八哥的博客
06-21 1858
有些Java漏洞的利用太繁琐了,需要java环境、多种工具配合使用、还要在虚拟服务器上看回显、记各种命令…对比之下 Yakit 真的太好用了。本次更新的两个功能基本上可以解决大部分Java漏洞利用的场景,希望师傅们多多使用,欢迎提出意见。
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
总的来说,Java反序列化漏洞是企业IT安全的重要关注点,特别是对于使用Weblogic等大型企业级服务器的组织。及时的漏洞检查和修复是防止此类攻击的关键步骤,而"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
面向Java反序列化漏洞调用搜索方法的研究.pdf
09-25
使用场景及目标:①提升Java反序列化漏洞调用的自动化挖掘能力;②解决传统静态分析对反射、动态代理等动态特性支持不足的问题;③优化动静态混合分析效率,减少误报与漏报,辅助安全评估与漏洞修复。; 阅读建议...
Java依赖的Shiro靶场_shiro在线靶场
wananxuexihu的博客
11-07 872
本次以 Shiro 靶场为例展开说明,其实现在内置的 4 个插件,均有对应的靶场和。
最后几块拼图(一):使用 Yakit 打破 Java 序列化协议语言隔离
YakProject的博客
11-06 418
最后几块拼图” 其实说的是作为一个常年和漏洞扫描算法与扫描装置斗争的代码崽,尝试花一点时间来做“最后一英里”的事情。其实这个思路和操作并不是独一无二的,世界上并没有那么多 “独一无二” 的东西可以给大家来搞。在完成这个模块的时候,我和 @phith0n P 牛提起这个事儿,他:“卧槽?我也写了一个这玩意”。嗯...果然在没有任何预兆的情况下和大家撞车了。
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 3851
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
Java 反序列化回显研究:漏洞检测工程化
hackzkaq的博客
11-16 232
payload形式的命令执行,更适合于漏洞检测,如果多次代码执行,每一次的类加载都会存到jvm的永久区里,特别特别多的话可能会导致占满jvm内存。内存马适合用于做webshell。手动修改字节码的好处在于可以脱离jdk动态生成class。可以用于漏洞检测工具中,无需依赖java环境。相反在 Java 环境中,由于本身需要遵循 Java 的规则,让 “动态类名” 等特性变的不那么容易,恶意类名按限定名只加载一次是一个阻碍工程化漏洞检测的实际问题。
Yakit真的这么好用?听听他们怎么用Yakit实现安全能力融合
四维创智
10-31 2585
是的,自Yakit跟随Yak在2021Xcon大会首次亮相以来,Yaklang团队就期望与用户之间达成长久并肩的伙伴关系。“从某种意义上来说Yakit比B*** S**te更强!还记得我们官网yaklang.com的那句话吗?“Yaklang拯救了学新语言从入门到放弃的我”“覆盖渗透测试全流程,Yakit方便又强大”“再不用Yakit,卷王就是别人的了”节目还会不会有第二期,取决于你们。什么是好用的安全测试工具?
yso gadget分析(1)
赵花花08042的博客
06-16 631
前言: 从JAVA反序列化RCE的三要素
java序列化理解_对ysoserial工具及java反序列化的一个阶段性理解
weixin_39615808的博客
02-24 371
经过一段时间的琢磨与反思,以及重读了大量之前看不懂的反序列化文章,目前为止算是对java反序列化这块有了一个阶段性的小理解。目前为止,发送的所有java反序列化的漏洞中。主要需要两个触发条件:1、反序列化的攻击入口2、反序列化的pop攻击这两个条件缺一不可。网上大量分析gadgets的文章方法,让人误以为有攻击就可以反序列化。其实这块是有一定的误导性的。在我最初研究反序列化的时候,我觉得攻击...
脑机接口(BCI)常用开发语言全景分析:从信号处理到系统构建的技术选型指南
最新发布
AllenLV的博客
11-23 557
本文系统分析了脑机接口(BCI)开发中的主流编程语言生态。Python凭借丰富的科学计算库成为算法开发的首选;MATLAB以其专业工具箱在科研领域占据优势;C/C++凭借高性能特性在实时处理和硬件交互中发挥关键作用;Java则擅长跨平台应用开发与系统集成。这些语言各具优势,在不同技术环节协同配合,共同推动BCI技术的发展。文章为开发者提供了全面的技术选型参考,有助于根据具体应用场景选择最合适的编程语言组合。
Java反序列化漏洞终极测试工具使用指南
- 使用安全的反序列化库,如Java 9及以上版本提供的反序列化过滤器。 - 对输入数据进行严格的白名单验证,只允许预期的安全类型进行反序列化- 限制或监控对Java对象的反序列化操作。 5. 工具的文件组成: ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值