约瑟
一种概念证明工具,用于生成利用不安全的Java对象反序列化的有效负载。
描述
最初作为AppSecCali 2015讲座一部分发布,其中包含针对Apache Commons Collections(3.x和4.x),Spring Beans / Core(4.x)和Groovy( 2.3.x)。 后来进行了更新,以包括其他小工具链和其他几个库。
ysoserial是在通用Java库中发现的实用程序和面向属性的编程“小工具链”的集合,可以在适当的条件下利用Java应用程序对对象执行不安全的反序列化。 主驱动程序接受用户指定的命令,并将其包装在用户指定的小工具链中,然后将这些对象序列化为stdout。 当在类路径上具有必需小工具的应用程序不安全地反序列化此数据时,该链将自动被调用并导致命令在应用程序主机上执行。
应该注意的是,漏洞在于应用程序执行不安全的反序列化,而不是在类路径上具
2021-06-09 11:34:08
143KB
1
反序列化:Protocol buffers 反序列化 需要转换到16进制,一键反序列化,有问题可以私信我
2021-06-04 09:00:10
1.23MB
1
WebLogic_EXP.jar WebLogic反序列化利用工具下载,作者rebyond。
使用环境 JDK1.8
2021-05-25 14:02:59
34.01MB
1
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .网上几乎没有,请珍惜。
2021-05-20 15:11:19
235KB
1