微信公众号:[小白安全工具] 分享安全工具与安全漏洞。问题或建议,请公众号留言。该开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任。
Web-Chains 简介
一个简单的、可拓展的 Java Payload 生成框架。
GitHub 地址:https://github.com/Ar3h/web-chains
使用教程
https://www.yuque.com/shenjingwa-leuvd/wpqdhf/eekyvau9fcblzzt0?singleDoc#
支持功能
web-chains 包含但不限于以下功能:
-
Java 反序列化Payload生成
-
支持的混淆:随机集合混淆、垃圾类插入、TC_RESET 填充、utf8 overlong encoding 混淆
-
Hessian 1/2 反序列化Payload生成
-
Hessian1 支持生成 HessianServlet 格式反序列化数据
-
支持的混淆:随机集合混淆、垃圾类插入、utf8 overlong encoding 混淆
-
字节码生成
-
支持自定义类名
-
支持自定义字节码版本
-
支持生成TemplatesImpl格式 Payload:实现 AbstractTranslet 接口
-
支持生成SnakeYaml Jar 格式 Payload:实现 javax.script.ScriptEngineFactory 接口
-
支持生成Fastjson Groovy 格式 Payload:实现 ASTTransformation 接口
-
支持生成 JavaWrapper 格式 Payload:添加
publicstaticvoid_main(String[]argv){}方法 -
支持生成 charsets.jar 格式 Payload
-
内置 java echo generator(Jeg)、java memshell generator(Jmg),并根据实战进行魔改
-
...
-
Exploit 模块
-
JNDI Exploit
-
Fake Mysql
-
JRMPListener
-
Tcp Server(Derby RCE)
-
HTTP Server
工具展示显示效果
java -jar web-chains-1.0.0-SNAPSHOT.jar 默认情况下监听 0.0.0.0 端口,并随机生成一个安全路径,只有访问该路径才可以获取session并进入web管理页面
原文始发于微信公众号(小白安全工具):Java Payload 生成框架
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论