通过proto工具编译的message结构被序列化,无法看出proto组织结构,通过这里的工具实现反序列化,清楚看到原messgae结构。注意:第六步运行的脚本操作过程按照其中的pdf文件最后的dos命令进行操作。
2021-09-03 15:55:19
90.91MB
1
weblogic反序列化补丁,p22248372_1036012_Generic.zip。
2021-09-02 15:19:26
2.37MB
1
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环
2021-09-02 09:10:03
30.83MB
通过JBOSS4 commons-collections.jar包的反序列化类InvokerTransformer, InstantiateFactory 和 InstantiateTransfromer class 文件可以远程操控服务器
2021-08-26 20:16:31
5.31MB
1
使用注意:
1. WebLogic反弹需要等5秒左右
2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。
本工具与网上已公布工具优点:
1. 综合实现网上公布的代码执行、反弹
2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell
3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。
4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测
5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境
待完成:
weblogic回显结果测试中,稍后加入
2021-08-26 19:40:14
101KB
1
个API结果比较的工具,比较的内容就是Json内容,但是为了实现宽泛的内容相等即只需要字段和值相等即可,不需要字符串严格相等,这种情况下就需要将Json内容字符串转换成具体的对象,出于通用性方面的考虑希望这个工具能比较所有的API结果不单单只是3D的API,所有在反序列化Json字符串时需要一种通用的转换方式,而不是写死的某个类的反序列化,这里介绍的一种思路就是使用dynamic关键字来实现通用反序列化并比较反序列化后的对象是否深度相等即比较对象的各个字段是否相等。深度相等通过两个方法一个字段相等和集合相等,字段相等区分字段名称和字段值是否相等,集合相等则将集合转换成元素,元素再比较字段相等,字段中包含集合的再递归调用实现。
2021-08-25 16:47:39
1.01MB
1
java反序列化工具ysoserial最新版v0.0.4 (jenkins,weblogic,jboss等的代码执行利用工具)
2021-08-25 15:39:25
44.85MB
1