使用注意： （需要安装JDK）1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版，请尽量按照正常思路来用，比如Url填写清楚，IP地址写对了，报错或者抛异常神马的别怪我，调输入校验好蛋疼。 本工具与网上已公布工具优点： 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能，利用的是jboss的热部署功能，直接部署一个war包，一键返回一个菜刀shell 3. 反弹shell部分更完美，不再加载远程war包，直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制，本地（4.2.3.GA）测试成功，其他版本请自测 5. 体积更小，不再依赖java环境，但程序采用.net编写，需要.net 4.0环境 待完成： weblogic回显结果测试中，稍后加入

java 反序列化PHP ,java解析php序列化的字符串，工具包和工程实例

java 常用序列化和反序列化框架使用demo ，java 常用序列化和反序列化框架使用demo

marshalsec命令格式如下： java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec. [-a] [-v] [-t] [ []] 参数说明： -a：生成exploit下的所有payload(例如：hessian下的SpringPartiallyComparableAdvisorHolder, SpringAbstractBeanFactoryPointcutAdvisor, Rome, XBean, Resin） -t：对生成的payloads进行解码测试 -v：verbose mode, 展示生成的payloads gadget_type：指定使用的payload arguments - payload运行时使用的参数 marshalsec.：指定exploits，根目录下的java文件名

使用环境： jkd1.8 在目标中输入目标服务器的IP和端口号即可

包含的17年之前的所有Java反序列化漏洞，有需要可以直接用，我平时就在用

weblogic反序列化全版本漏洞利用工具，可执行命令

ysoserial-0.0.6-SNAPSHOT-BETA-all.jar

Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271

根据JAVA反序列化安全漏洞开发的工具，成功率极高，良心之作，只供学习研究，请勿用作它用。