GadgetInspector 使用教程

最新推荐文章于 2024-11-25 18:47:20 发布
最新推荐文章于 2024-11-25 18:47:20 发布
阅读量922 收藏 20
点赞数 19
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00429/article/details/141509992

GadgetInspector 使用教程

gadgetinspector项目地址:https://gitcode.com/gh_mirrors/gad/gadgetinspector

项目介绍

GadgetInspector 是一个用于在 Java 应用程序中自动发现反序列化链的工具。它通过字节码形式的 Java 项目进行污点分析,挖掘可能存在的反序列化链。该项目由 JackOfMostTrades 在 2018 BLACKHAT USA 上发布,对于安全开发和漏洞挖掘具有重要的意义。

项目快速启动

环境准备

确保你已经安装了以下工具和环境:

  • Java JDK 8 或更高版本
  • Git

克隆项目

首先,克隆 GadgetInspector 项目到本地:

git clone https://github.com/5wimming/gadgetinspector.git
cd gadgetinspector

构建项目

使用 Gradle 构建项目:

./gradlew build

运行 GadgetInspector

构建完成后,可以通过以下命令运行 GadgetInspector:

java -jar build/libs/gadgetinspector.jar <参数>

例如,分析一个 JAR 文件:

java -jar build/libs/gadgetinspector.jar /path/to/your.jar

应用案例和最佳实践

应用案例

GadgetInspector 可以用于分析各种 Java 库和应用程序,以发现潜在的反序列化漏洞。例如,它可以分析 Apache Commons Collections 库,发现并利用反序列化链进行漏洞利用。

最佳实践

  1. 定期扫描:定期使用 GadgetInspector 扫描项目依赖库,以发现新的反序列化漏洞。
  2. 代码审计:结合代码审计,确保项目中没有直接使用存在漏洞的库或类。
  3. 安全培训:对开发团队进行安全培训,提高对反序列化漏洞的认识和防范意识。

典型生态项目

GadgetInspector 可以与其他安全工具和项目结合使用,形成完整的安全生态系统。以下是一些典型的生态项目:

  1. OWASP Dependency-Check:用于检查项目依赖库中的已知漏洞。
  2. Find Security Bugs:用于在 Java 代码中查找安全漏洞的静态分析工具。
  3. Burp Suite:用于 Web 应用程序安全测试的综合工具,可以与 GadgetInspector 结合使用,进行更全面的安全评估。

通过这些工具的结合使用,可以更有效地发现和防范 Java 应用程序中的安全漏洞。

gadgetinspector项目地址:https://gitcode.com/gh_mirrors/gad/gadgetinspector

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

Java 反序列化工具 gadgetinspector 初窥
晓得哥的博客
09-18 847
作者:Longofo@知道创宇404实验室 时间:2019年9月4日 原文链接:https://paper.seebug.org/1034/ 起因 一开始是听@Badcode师傅说的这个工具,在Black Hat 2018的一个议题提出来的。这是一个基于字节码静态分析的、利用已知技巧自动查找从source到sink的反序列化利用链工具。看了几遍作者在Black Hat上的演讲视频与PPT,想从作者...
gadget inspector 挖掘利用链
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
01-10 1897
gadgetinspector下载地址 1、https://github.com/JackOfMostTrades/gadgetinspector 2、https://github.com/threedr3am/gadgetinspector 进入目录gadgetinspector,然后安装: gradlew.bat shadowJar 如果下载太慢,可以设置代理,在目录gadgetinspector下,创建文件gradle.properties,里面内容如下,然后重新安装 systemProp.http
java inspector_Gadgetinspector:一款针对Java应用程序库的字节码分析工具
weixin_39954569的博客
02-17 181
原标题:Gadgetinspector:一款针对Java应用程序库的字节码分析工具 GadgetinspectorGadgetinspector是一款针对Java应用程序/库的字节码分析工具,它可以帮助研究人员寻找和分析Java应用程序中的反序列化小工具链(Gadget Chain)。该项目可以检查Java代码库和类路径中的Gadget链,而Gadget链可以被用来构造针对反序列化漏洞的漏洞利用技...
探秘Java安全:强大而实用的GadgetInspector
gitblog_00079的博客
05-08 411
探秘Java安全:强大而实用的GadgetInspector 项目地址:https://gitcode.com/gh_mirrors/gad/gadgetinspector 在网络安全的世界里,对于Java应用的安全性审查从未停止。今天,我们向你推荐一个令人瞩目的开源项目——GadgetInspector。这个项目专注于Java库的深度分析,能够帮助开发者发现并预防序列化漏洞,通过自动化的方式构造...
Gadget Inspector:自动化检测Java反序列化漏洞的利器
gitblog_00605的博客
08-29 637
Gadget Inspector:自动化检测Java反序列化漏洞的利器 项目地址:https://gitcode.com/gh_mirrors/ga/gadgetinspector 项目介绍 Gadget Inspector 是一个用于检测Java库和类路径中gadget链的开源工具。Gadget链是构建反序列化漏洞利用的关键组成部分。通过自动发现应用程序类路径中的潜在gadget链,渗透测试人员...
gadgetinspector学习
公众号shadow sock7
10-30 605
参考threedr3am大佬的讲解: 改造gadgetinspector篇-自动化挖掘Fastjson gadget chain git clone https://github.com/threedr3am/gadgetinspector cd gadgetinspector ./gradlew shadowJar # 执行 java -jar build/libs/gadget-inspector-all.jar --config fastjson /c/Users/Administrator/.
使用gadgetinspector挖掘漏洞
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
05-15 641
说明 抽空二次改造了一下gadgetinspector,参考我前面写的文章 1、gadget inspector 挖掘利用链 2、gadgetinspectot改造 改造后的源码见github,欢迎star,不定期更新该工具。目前更新如下: 1、修复了一些bug,如漏洞类的子类无法被挖掘等。 2、优化了一些功能,如slink点、利用链等。 3、增加了一些功能,识别函数注解、参数注解等。 4、增加了web项目扫描模块,可以用来扫描web项目的漏洞,source点为路由入口。 使用???? 然后使用该工具的we
基于Java ASM技术和GadgetInspector的原理,尝试实现一个自动Java代码审计工具。目前做到了可控.zip
03-23
Java ASM技术是Java字节码操纵和分析框架,它允许开发者动态生成类或者增强已有类的...在实现过程中,我们需要深入理解Java字节码、反序列化机制,以及ASM和GadgetInspector使用方式,这样才能有效地进行代码审计。
利用Java ASM和GadgetInspector实现自动代码审计工具
资源摘要信息: "本资源专注于探索如何利用Java ASM技术和GadgetInspector原理,实现一个自动化的Java代码审计工具。目前的进展已经可以实现对特定代码的可控性分析。" 在探讨自动Java代码审计工具的实现过程中,...
java一阶段笔试题-gadgetinspector:用于在Java应用程序中查找反序列化小工具链的字节码分析器
06-17
然后,您可以使用java -jar build/libs/gadget-inspector-all.jar 运行应用程序。 如何使用 这个应用程序需要一个war文件的路径(在这种情况下war将被分解并且它的所有类和库用作类路径)或任意数量的jar作为参数。 ...
GadgetInspector原理分析
JAVAQXQ的博客
07-29 490
是在上发布的一个自动化反序列化链挖掘工具,它通过对字节码形式的JAVA项目进行污点分析,挖掘可能存在的反序列化链。我们从GadgetInspector的源代码进行分析。六个部分层层递进,最终完成反序列化链挖掘。...
Gadget Inspector 源码解析
Elegant Coding
10-14 221
推广博客: Gadget Inspector 源码解析
GadgetInspector源码分析
Dokii_i的博客
01-17 544
GadgetInspector是2018年blackhatusa上面发布的一个自动化链子挖掘工具,通过asm的方法来对字节码进行静态的分析,以污点传播的方式来挖掘可能存在的链子,考虑到项目大多获取的都是war,jar包的形式原始的GadgetInspector是不能用来挖掘漏洞的,只能找出source(入口点)→sink链在学习整个项目前,需要读者有asm的基础和字节码的基础,否则比较难看懂。
Gadget Inspector 项目常见问题解决方案
gitblog_00376的博客
11-25 273
Gadget Inspector 项目常见问题解决方案 gadgetinspector A byte code analyzer for finding deserialization gadget chains in Java applications ...
使用动态代理,抽取Service公共代码
IF
04-12 1067
原业务层代码: AccountServiceImpl_OLD.java public class AccountServiceImpl_OLD implements AccountService { private AccountDao accountDao; private TransactionManager transactionManager; // 实现se...
智慧农业数字乡村数字化场景DeepSeek+AI大模型智算一体机设计方案.pptx
06-23
智慧农业数字乡村数字化场景DeepSeek+AI大模型智算一体机设计方案.pptx
【Bernstein-2025研报】美国服装及专业零售:美国运动服装需求追踪(2025年5月).pdf
06-23
【Bernstein-2025研报】美国服装及专业零售:美国运动服装需求追踪(2025年5月).pdf
《UPBGE:Blender最佳集成游戏引擎的持续更新》
06-23
资源下载链接为: https://pan.quark.cn/s/ab6ed9424307 UPBGE(Uchronia项目Blender Game Engine)是Blender的一个分支版本,由Blender Game Engine的开发人员Porteries Tristan及其一些朋友于2015年9月创建。它是一个独立的分支,旨在对现有的Blender Game Engine(BGE)代码进行清理和优化,尝试引入新功能,并实现那些目前存在但尚未与Blender官方主线合并的被遗忘的功能。在Blender Foundation决定从2.8版本开始移除BGE之后,UPBGE实际上成为了唯一继续进行Game Engine开发的项目。这使得UPBGE在开发过程中拥有更大的自由度,因为它不会与Blender的正式版本产生冲突。UPBGE的开发周期为4个月,其中3个月用于添加新功能和重构代码,1个月用于修复错误,之后会发布一个新版本,每年大约有3到4个版本可供下载
课程设计-jsp2120车间信息管理系统ssh-qkr.zip
最新发布
06-23
课程设计 源代码数据库配套报告教程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

郝茜润Respected

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值