【文件属性】:
文件名称:remote-method-guesser:Java RMI漏洞扫描程序
文件大小:300KB
文件格式:ZIP
更新时间:2021-05-01 09:40:31
security bruteforce deserialization rmi pentesting
远程方法猜测器
remote-method- guesser ( rmg )是用Java编写的命令行实用程序,可用于识别Java RMI端点上的安全漏洞。 当前,支持以下操作:
列出可用的绑定名称及其对应的接口类名称
列出代码库位置(如果由远程服务器公开)
检查已知漏洞(启用的类加载器,缺少JEP290 , JEP290旁路,本地主机旁路)
通过使用蛮力(单词列表)方法识别现有的远程方法
使用用户指定的参数调用远程方法(无需编码)
在参数内使用ysoserial小工具调用远程方法
使用客户端指定的代码库调用远程方法(远程类加载攻击)
使用ysererial小工具或客户端指定的代码库执行DGC和注册表调用
对rmi注册表执行bind , unbind和rebind操作
使用绕过注册表筛选
枚举java.lang.String的解组行为
动态创建Java代码以手动调用远程方法
目