序列化有效载荷生成器工具的使用|SerializedPayloadGenerator

序列化有效载荷生成器工具的使用|SerializedPayloadGenerator – 作者:jimmy520

序列化漏洞一直在互联网上流传。序列化漏洞的利用在过去几年突飞猛进。我们一直在密切关注这个领域，并在我们的渗透测试和培训中解决这个问题。

在 Web 应用程序渗透测试期间，作为黑盒渗透测试者，我们面临的一个最常见问题是序列化负载的生成，我们可以利用它来利用序列化错误。

应用程序使用不同的语言构建，如.NET、PHP、Java 等。要利用不同语言构建的应用程序的反序列化漏洞，需要配置不同的反序列化开发工具。为了简化跨各种应用程序的有效载荷生成过程，我们一直在内部开发一个聚合器工具，我们现在正在将其开源。

我们在应用程序中提取了以下工具以及一些自制脚本：

Java – YSoSerial
.NET – YSoSerial.NET
PHP – PHPGGC

为什么是 .NET 应用程序？

此工具专门构建为 .NET Web 应用程序，以涵盖我们可以构建的最大范围的序列化有效负载。NET 序列化工具只能在 Windows 上运行，不能在 dotnetcore 上运行，因此决定将其作为 .net 应用程序。

为什么是自托管而不是托管解决方案？

我们了解使用此工具的人出于各种原因更愿意对输入和创建的有效负载保密。因此，我们没有将网页作为可以生成这些有效负载的托管解决方案，而是提供了一个自托管 Web 应用程序，该应用程序可以部署在私有环境中并根据需要使用。

介绍序列化有效载荷生成器

NotSoSecure 使用各种反序列化利用框架创建了一个名为 Serialized Payload Generator 的工具，只需从应用程序的 Web 界面即可。Web 界面提供对 YSoSerial(Java)、YSoSerial.NET、PHPGGC 和其他工具的支持。

它是使用各种反序列化开发框架生成有效负载的 Web 界面

描述

在以不同编程语言构建的应用程序的渗透测试过程中。为了利用反序列化漏洞，需要设置不同的工具，如 YSoSerial(Java)、YSoSerial.NET、PHPGGC 和它的先决条件。DeserializationHelper 是包含对 YSoSerial(Java)、YSoSerial.Net、PHPGGC 和其他工具的支持的 Web 界面。使用 Web 界面，您可以为各种框架生成反序列化payload。