像冰蝎/哥斯拉/shiro_attack/ysoserial/marshalsec/burp这种人尽皆知的就不说了。
特别提醒:因为java GUI相关组件,swing和javafx均爆过漏洞,所以此类工具可能存在被反制风险,谨慎使用。
https://github.com/wgpsec/YongYouNcTool
用友NC利用工具,GUI
用友NC因为禁用了很多类,不是那么容易直接回显和打内存马,这款工具解决了这点。
https://github.com/kezibei/yongyou_nc_poc
用友NC检测工具,命令行
自己写的,漏洞范围比前者多一点点,但没有漏洞利用。
https://github.com/ExpLangcn/HVVExploitApply
OA综合利用工具,GUI
项目被关闭了。
https://mp.weixin.qq.com/s/NBTypQ-h_ul2ktEcQp23gA
OA综合利用工具,GUI
未提供下载地址,但GitHub上搜Thelostworld_OA.jar可以找到。
https://github.com/SummerSec/ShiroAttack2
shiro利用工具,GUI
在原版shiro_attack上修复了一些问题,加入了更多链和key
https://abc123sec.blog.csdn.net/article/details/125365061?spm=1001.2014.3001.5502
weblogic利用工具,Struts2利用工具,GUI
未公开,但根据作者的说法已经被传播开了
https://github.com/irsdl/IIS-ShortName-Scanner
IIS短文件名猜解工具,命令行
当初下载这个是因为iis_shortname_scan.py未忽视https证书,今天过去一看它居然修复了。
https://github.com/4ra1n/jar-analyzer-gui
jar包分析工具,GUI
代替codeql的java分析工具。
https://github.com/4ra1n/mysql-fake-server
mysql恶意服务端,GUI
比起python版的MySQL_Fake_Server就是有GUI,不依赖ysoserial,更加直观。
https://github.com/feihong-cs/JNDIExploit
jndi利用工具,命令行
最早的一款公开且集成了诸多绕过的jndi利用工具,可惜已经关闭项目了,但在它之上有很多修改版,随便给一个。
https://github.com/Mr-xn/JNDIExploit-1
https://github.com/SafeGroceryStore/MDUT
数据库利用工具,GUI
非常实用的数据库利用工具,特别是Oracle的利用,几乎无可替代。
https://github.com/abc123info/BlueTeamTools
java分析工具,GUI
abc123为数不多公开的工具,在流量分析时非常实用。
https://github.com/Tas9er/ByPassBehinder4J
https://github.com/Tas9er/ByPassGodzilla
免杀webshell生成工具,命令行
https://github.com/BeichenDream/InjectJDBC
jdbc提取工具,命令行
agent技术可以直接从pid中提取jdbc链接以获取数据库信息,避免你去翻各种奇奇怪怪的配置文件,后渗透中很使用的小工具。
https://github.com/SummerSec/AgentInjectTool
agent工具,命令行
进一步加入获取修改shiro key,打tomcat内存马等功能
https://github.com/minhangxiaohui/DecodeSomeJSPWebshell
webshell流量解密,GUI
流量分析时用的,可惜没更新了,适用面有限
https://github.com/BeichenDream/GodzillaMemoryShellProject
哥斯拉内存马,仅代码
作者亲自写的,保证兼容性,实战时套在反序列化/jndi/el表达式/SSTI等漏洞入口上。
https://github.com/feihong-cs/Java-Rce-Echo
回显马,仅代码
适合中间件回显或者内存马学习,都是jsp写的,稍加改造可以套在反序列化/jndi/el表达式/SSTI等漏洞入口上。
https://github.com/kezibei/Urldns
URLDNS链探测类,命令行
自己写的,存在反序列化入口时用来探测对方的依赖,以选择正确的反序列化链,实战中非常好用。
https://github.com/Y4er/ysoserial
反序列化工具,命令行
深入了解反序列化之后就会知道原版ysoserial有很多局限性,因此很多人都改造过ysoserial,使其兼容性更强,能生成更多适合实战的payload。
这里本来更想推荐su18的ysoserial,但他删库跑路了,不过github上还是有很多fork。
https://github.com/whwlsfb/JDumpSpider
heapdump提取工具,命令行
以前的heapdump都是用MemoryAnalyzer人工分析,非常折磨,现在可以一键提取出有用信息了。
原文始发于微信公众号(珂技知识分享):java工具推荐