反序列化利用工具

linxuewen

[zbyuncbuy=1|4376059321712651828323|0][td]

项目简介	项目地址	项目名称
JYso是一个可以用于 jndi 注入攻击和生成反序列化数据流的工具。	https://github.com/qi4L/JYso	JYso
项目为 ysoserial [su18] 专版，取名为 ysuserial ，在原项目 ysoserial 基础上魔改而来	https://github.com/su18/ysoserial/	ysuserial
jndi注入工具v1.4	https://github.com/WhiteHSBG/JNDIExploit	JNDIExploit
JNDI服务利用工具 RMI/LDAP，支持部分场景回显、内存shell，高版本JDK场景下利用等，fastjson rce命令执行，log4j rce命令执行 漏洞检测辅助工具	https://github.com/wyzxxz/jndi_tool	jndi_tool
TopicsYsomap是一款适配于各类实际复杂环境的Java反序列化利用框架，可动态配置具备不同执行效果的Java反序列化利用链payload。	https://github.com/wh1t3p1g/ysomap	ysomap
原版反序列化利用工具	https://github.com/frohoff/ysoserial	ysoserial
ysoserial修改版，着重修改ysoserial.payloads.util.Gadgets.createTemplatesImpl使其可以通过引入自定义class的形式来执行命令、内存马、反序列化回显	https://github.com/Y4er/ysoserial	ysoserial修改版
魔改版ysoserial，有更多方便的命令	https://kgithub.com/woodpecker-framework/ysoserial-for-woodpecker	ysoserial-for-woodpecker
解决FastJson、Jackson、Log4j2、原生JNDI注入漏洞的高版本JDKBypass利用，探测本地可用反序列化gadget达到命令执行、回显命令执行、内存马注入	https://github.com/exp1orer/JNDI-Inject-Exploit	JNDI-Inject-Exploit
MySQL Fake Server (纯Java实现，内置常见Java反序列化Payload，支持GUI版和命令行版，提供Dockerfile)	https://github.com/4ra1n/mysql-fake-server	mysql-fake-server
rmi打内存马工具，适用于目标用不了ldap的情况	https://github.com/novysodope/RMI_Inj_MemShell	RMI_Inj_MemShell
没什么好介绍的，jndi基础工具	https://github.com/mbechler/marshalsec	marshalsec

[/zbyuncbuy]