专栏名称: Web安全工具库

将一些好用的web安全工具和自己的学习笔记分享给大家。。。

目录

相关文章推荐

北京大学中国古代史研究中心 · 中古史荐读｜荣新江：悼念项楚先生——中国敦煌 ... · 昨天

朝文社 · 裁掉10万公务员后，特朗普要把省下的钱发给全民 · 2 天前

鱼羊史记 · 男人只要布局3年，就没人敢瞧不起你： 1、 ... · 2 天前

历史地理研究资讯 · 秦磊：清代云南科举宾兴与边疆文教治理 · 5 天前

史事挖掘机 · 古代穷人娶不到老婆，怎么延续香火？方式让人难 ... · 3 天前

51好读 › 专栏 › Web安全工具库

fastjson漏洞批量检测工具（7月12日更新）

Web安全工具库 · 公众号 · · 2024-07-15 22:13

正文

===================================

免责声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。个人微信： ivu123ivu

0x01 工具介绍

1. 根据现有payload，检测目标是否存在fastjson或jackson漏洞（工具仅用于检测漏洞、定位payload） 2. 若存在漏洞，可根据对应payload进行后渗透利用 3. 若出现新的漏洞时，可将最新的payload新增至txt中（需修改格式） 4. 工具无法完全替代手工检测，仅作为辅助工具使用

0x02 安装与使用

一、常用命令

安装第三方库pip3 install -r requirement.txt -i https://pypi.tuna.tsinghua.edu.cn/simple
检测单个站点:python3 JsonExp.py -u [目标] -l [LDAP服务地址]
根据请求包检测单个站点：python3 JsonExp.py -req [目标.txt] -l [LDAP服务地址]
根据文本检测多个站点:python3 JsonExp.py -uf [目标.txt] -l [LDAP服务地址]

二、DNSlog检测，自定义地址，若出现dnslog回弹，可根据前面的编号去寻找对应的payload

三、随机地址，需挂全局代理才能访问并申请资源，使用此功能将对发包速度产生较大影响。若存在dnslog回弹结果，将会生成/result/xxx_dnslog.html文件，没触发dnslog则不会生成该文件。

0x03 项目链接下载

请到「今天看啥」查看全文

推荐文章

北京大学中国古代史研究中心 · 中古史荐读｜荣新江：悼念项楚先生——中国敦煌学的中坚

昨天

朝文社 · 裁掉10万公务员后，特朗普要把省下的钱发给全民

2 天前

鱼羊史记 · 男人只要布局3年，就没人敢瞧不起你： 1、AA制聚餐，选择性地参与。 2、与人聊天，多赞少贬。 3、微信步数，一定要关了它。 4、钥匙再多，不挂腰间，让腰放轻松，心情也轻松。 5、有事没事，都少发....

2 天前

历史地理研究资讯 · 秦磊：清代云南科举宾兴与边疆文教治理

5 天前

史事挖掘机 · 古代穷人娶不到老婆，怎么延续香火？方式让人难以接受！

3 天前

毒舌电影 · 豆瓣9.5，什么时候我们才有这样的明星

8 年前

小腹基 · 小腹基付费阅读合作邀请~

7 年前

汽车咨询中心网 · 逾八成锂电池企业Q1净利增长坚瑞沃能暴增1600倍

7 年前

潮人 · 潮牌 | 惊动纽约街头！NIKE竟然与adidas联名了？！

7 年前

社会学了没 · 受过伤害，就要痛苦一辈子吗？丨创伤后要如何修复

7 年前

Sov5搜索 · 小百科 · 今天看啥 · 移动版

51好读 - 好文章就要读起来!