文件名称:xalanjava源码-Jackson-RCE:杰克逊-RCE
文件大小:7.69MB
文件格式:ZIP
更新时间:2024-06-25 17:31:12
系统开源
xalan java源码我们在证明什么 Jackson 数据绑定反序列化漏洞 应用环境 基于Spark框架的微服务() 取决于 com.fasterxml.jackson.core:jackson-databind:2.8.8 夏兰:夏兰:2.7.2 不安全的反序列化(多态类型) 不可信输入接受 目录结构 src/... : 描述反序列化利用的源代码(使用) 漏洞利用:为DeSerializaiton漏洞制作小工具/利用的源代码 攻击脚本:其他 shell 脚本,用于在应用程序服务上引发正常和恶意请求 我怎样才能使用它? 启动 shell 提示(启动易受攻击的 Web 实例) git 克隆 cd 困境 mvn 包 启动应用服务器: java -jar target/jackspoilt-1.0-SNAPSHOT.jar 启动 shell 提示(创建小工具或漏洞利用) cd 困境 mvn exec:java -D"exec.mainClass"="EncodeExploit" 上面的命令在attackscripts目录中创建attack.json cd 攻击脚本 ./add.sh ./l
【文件预览】:
Jackson-RCE-master
----dependency-reduced-pom.xml(2KB)
----Class Editor()
--------WhatsNew(3KB)
--------CEJavaClass.xsd(603KB)
--------ce.jar(180KB)
--------LICENSE.TXT(23KB)
--------README(4KB)
----src()
--------site()
--------test()
--------main()
----target()
--------original-jackspoilt-1.0-SNAPSHOT.jar(10KB)
--------maven-status()
--------classes()
--------surefire-reports()
--------maven-archiver()
--------jackspoilt-1.0-SNAPSHOT.jar(8.2MB)
--------test-classes()
----exploit()
--------Exploit.java(724B)
--------EncodeExploit.java(2KB)
----README.md(1KB)
----pom.xml(3KB)
----attackscripts()
--------list.sh(71B)
--------add.sh(240B)
--------exploit.sh(85B)