【JAVA反序列扫描工具】简介、下载、安装、使用
【JAVA反序列扫描工具】简介、下载、安装、使用
目录
一、Java Deserialization Scanner
(scan!)
一、Java Deserialization Scanner
1.1、简介:
Java Deserialization Scanner是一个Burp套件插件,用于检测和利用Java Deserialization漏洞。
1.2、组成:
与Burp Suite Active and Massive Scanner集成
手动测试仪,用于检测自定义插入点上的Java Deserialization漏洞
利用,允许积极利用Frohoff Ysoserial积极利用Java Deserialization vullnerabilies
二、下载:
2.1、方法一:BAPP store
BAPP store里面直接下载Java Deserialization Scanner
找到后,点击右边的安装
2.2、 方法二:GitHub
GitHub下载:
三、配置
3.1、 插件的配置
最后添加进去即可
安装好后需要配置 ysoserial(是java反序列化漏洞payload生成器) 的路径
(可以直接填上文件名,我试了可以)
3.2、ysoserial准备
源码下载地址(GitHub)
ysoserial需要编译打包成.jar文件(Maven,Gradle都可打包)
可以自己从github上下载最新源码,编译打包(也可编制IDEA,直接在终端操作)
或者使用老版的ysoserial.jar
链接:https://pan.baidu.com/s/18q2ruwCFGI1vMvl9j7lT3w?pwd=hj12
提取码:hj12
四、使用方法:
4.1、截取发送到插件
send request to DS-Manual testing
发送到插件中
点击插件查看数据包
4.2、 配置扫描
选择被序列化的部分,
并Set insertion port(设置插入部分)
还可以选择sleep等测试的方式
最下面方框是选择,选中的数据是什么编码
4.3、分析结果
在右边会出现测试的结果
我这右边都是NOT vulnerable(不脆弱)
如果扫描到有漏洞的话,
后面接的就会是:Potentially VULNERABLE!!!
根据在Manual testing结果中检出出有漏洞使用对应的命令
或者修改添加计算器等其他工具
- 点赞
- 收藏
- 关注作者
评论(0)