CVE-2021-26295 Apache OFBiz 反序列化漏洞

CVE-2019-17564，Apache-Dubbo反序列化漏洞

 # Fastjson<=1.2.47反序列化漏洞为例 1、此时/tmp目录  2、编译Exploit.java javac

Java反序列化漏洞利用集成工具

java反序列化漏洞检测工具集 支持 jboss weblogic Websphere 本工具仅为方便管理员发现和展示漏洞的危害性，请勿用于非法用途

ysoserial 是安全测试 playload 生成工具

weblogic CVE-2018-2628 反序列化漏洞 ，包含安装手册以及补丁文件

Java反序列化漏洞利用工具（joomla版本）亲测可用，直接GETSHELL以及执行命令没问题

项目介绍 基于Apache Shiro反序列化漏洞进行利用链的探测，附内存马。 利用时需要修改POST请求两处数据，分别为Header头RememberMe字段值和携带的data数据（由于payload设定，data中须指定名字为c的参数值）。 探测到利用链后，根据提示，将屏幕输出的payload粘贴至POST请求Header头RememberMe字段处，至于data携带的数据，自行决策，本文文末附内存马，可直接粘贴至data中使用，或自行生成指定命令的字节码片段替换。 与项目相关文章首发于： Shiro exp使用手册 Shiro rememberMe反序列化漏洞 漏洞原理 Apache Shiro框架提供了记住密码的功能（RememberMe），用户登录成功后会生成经过加密并编码的cookie，服务端对rememberMe的cookie值先base64解码然后AES解密再反序列化，就导

ysoserial反序列化漏洞的检查工具 ysoserial-v0.0.5.jar 非常好用