[项目申请]: ysuserial

[su18]

基本要求

• [X] 1. 项目完全开源并遵守开源协议
• [X] 2. 项目提供README等项目描述
• [X] 3. 项目属于计算机安全范畴
• [X] 4. 项目具备一定的实用价值
• [X] 5. 项目不包含恶意功能或源码
• [X] 6. 项目将会积极维护

项目名称

ysuserial

项目地址

https://github.com/su18/ysoserial

项目简介

ysuserial 是一个 Java 反序列化漏洞利用工具，是原版 ysoserial 的一个史诗级提升和改版，用于在 Java 反序列化漏洞利用过程中提供更快速、更便捷的利用路径，在原版的基础上提供更多实战意义用途，例如流量层绕过、RASP 层绕过、一键打入各类型内存马等等功能。 于此同时，项目还集成了网络上各种相关姿势，如关键类替换、二次反序列化、后反序列化等等手段，应对极端情况、CTF 等场景也有奇效。 ysuserial 的一切关键利用点均使用动态生成，可以随时修改特征，并将会在未来积极维护，必要时重构，以应对层出不穷的新技术。

项目亮点

1. 基础链版本的覆盖：原版反序列化链可能仅限于某几个版本，本项目添加了如 CB/C3P0 等链的低版本，可一键 getshell 的版本覆盖更广；
2. 利用链的扩充和丰富：在原版基础上添加了多条利用链，扩展利用方式，更够在依赖不确定、利用方式有限制的情况扩展更多的攻击路径；
3. 利用方式的填充：原版的利用链的利用方式仅使用了 Runtime 执行系统命令，本项目添加了多种利用方式，并支持执行自定义任意代码；
4. 利用链探测：本项目在 URLDNS 中添加了利用链的探测，在攻击中不再盲目乱打，先通过 DNSLOG 检测类名，再执行攻击；
5. 内存马：本项目在利用时，对于部分链支持了一键打入 Spring/Tomcat/Jetty/JBoss/Resin/Websphere 内存马功能，内存马支持命令执行、冰蝎、哥斯拉、WebSocket 四种利用方式；并支持 Tomcat 回显命令执行、Neoreg 流量隧道内存马、Tomcat Websocket 内存马、Tomcat Executor 内存马、Tomcat Upgrade 内存马、RMI 内存马等；
6. 防御绕过：在部分系统中使用了 WAF/RASP 等防御模式，本项目去除大多数原版特征，并在执行恶意动作时使用了多种能够绕过 RASP 的执行方式，绕过防护；
7. MSF/CS 上线：配合远程 Jar 包一键上线 MSF/CS 的功能，集成一体，快人一步；
8. 使用去除编译类字节码行号、Javassist 动态添加父类、接口、重写方法等多种技术缩小反序列化 payload；
9. 支持使用随机集合类封装反序列化恶意类并填充随机长度字符来绕过流量层解析的功能。

[Knownsec404team]

您好，感谢投稿。项目未通过404星链计划技术评审环节，期待项目后续的更新和迭代，随时欢迎再次投稿，谢谢！