没有合适的资源?快使用搜索试试~ 我知道了~
DeserializationExercises
共9个文件
java:6个
xml:1个
gitignore:1个
需积分: 5 0 下载量 43 浏览量
2021-05-09
09:49:50
上传
评论
收藏 9KB ZIP 举报
温馨提示
反序列化运动 此小型回购包含一些练习,这些练习是我的一部分,涉及Java反序列化漏洞的子主题: 所有练习都使用反序列化终结点(可以是基于Web的远程终结点),为简单起见,本演示仅从stdin中读取Base64编码的序列化Java对象,因此您可以在培训期间直接在IDE中使用它。 级别1:对滥用小工具的直接利用 第一层包含一个简单的直接可用的小工具(带有危险的“魔术方法”的可序列化类),用于实现远程代码执行(RCE)。 级别2:通过触发器小工具和代理利用InvocationHandler 第二级包含一个简单的两步“小工具链”,其中无害的触发器小工具与危险的InvocationHandler一起使用以获取远程代码执行(RCE)。 级别3:图书馆中的小工具链 待办事项:第三级将利用目标类路径上的公共库,展示更多现实世界和复杂的小工具链。 级别4:绕过黑名单 待办事项:第四层将展示嵌套反序列化的
资源推荐
资源详情
资源评论
收起资源包目录
DeserializationExercises-master.zip (9个子文件)
DeserializationExercises-master
.gitignore 189B
deserialization
src
main
java
victim
level2
SomeHarmlessMappingDTO.java 1KB
DangerousSerializableInvocationHandler.java 626B
level1
SomeDangerousSerializableThing.java 591B
DeserializationEndpoint.java 1KB
pom.xml 393B
README.md 1KB
attacker-serializing
src
attacker
level2
AttackerPayloadCreator.java 2KB
level1
AttackerPayloadCreator.java 1KB
共 9 条
- 1
资源评论
zhangjames
- 粉丝: 21
- 资源: 4745
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功