发送java字节码的数据包

一些Java反序列化漏洞在利用时,要发送Java序列化值(字节码)到服务器。

我们在使用一些工具生成字节码后,可以通过python或者burp发送。

生成的字节码一般以两种形式存储:

1、二进制形式存储到 poc.ser

2、将字节码base64编码一下,存储到poc.txt

发送到服务器的方式:

通过python:

对于字节码文件,直接二进制方式(‘rb’)读取poc.ser,发送即可。

挂个代理,burp抓下包,方便看发的是否正确

import base64
import requests# 读取文件中的 base64 编码的 Java 字节码数据
with open('poc.txt', 'r') as f:base64_data = f.read()# 解码 base64 数据
bytecode = base64.b64decode(base64_data)# 设置请求头部信息
headers = {'Content-Type': 'application/java-vm', 'Content-Length': str(len(bytecode))}# 设置代理服务器地址和端口号
proxies = {'http': 'http://127.0.0.1:8080', 'https': 'http://127.0.0.1:8080'}# 发送 POST 请求
response = requests.post('http://example.com/upload', headers=headers, data=bytecode, proxies=proxies)# 打印响应结果
print(response.text)

通过burp:

通过burp的Paste from file功能,直接将字节码文件poc.ser 导入到body中。

在这里插入图片描述

如果字节码进行base64编码了,可以先转回来:

import base64# 读取文件中的 base64 编码的 Java 字节码数据
with open('poc.txt', 'r') as f:base64_data = f.read()# 解码 base64 数据
bytecode = base64.b64decode(base64_data)# 将字节码数据保存到文件中
with open('poc.ser', 'wb') as f:f.write(bytecode)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/221131.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

系统架构达人亲授:多电商活动从容应对的顶级秘籍!

大家好,我是小米,一个热爱技术分享的小伙伴。最近我参加了一场社招面试,遇到了一道非常有趣的题目:在面对多个电商活动时,从架构上需要做到什么支持呢?今天我就来和大家分享一下我的思考和解答。 引言 随…

关于面试总结--接口测试面试题

前言 接口测试最近几年被炒的火热了,越来越多的测试同行意识到接口测试的重要性。接口测试为什么会如此重要呢? 主要是平常的功能点点点,大家水平都一样,是个人都能点,面试时候如果问你平常在公司怎么测试的&#xff…

广州华锐互动:AI虚拟数字人为教培行业带来诸多变革和创新

随着科技的不断发展,人工智能技术已经逐渐渗透到各个行业,其中教育领域也不例外。近年来,AI虚拟数字人在教培行业的应用越来越广泛,为教育行业带来了诸多变革和创新。 广州华锐互动作为一家虚拟现实内容制作商,已开发了…

深度学习中的13种概率分布

1 概率分布概述 共轭意味着它有共轭分布的关系。 在贝叶斯概率论中,如果后验分布 p(θx)与先验概率分布 p(θ)在同一概率分布族中,则先验和后验称为共轭分布,先验称为似然函数的共轭先验。 多…

尚硅谷Docker笔记-基础篇

B站视频:https://www.bilibili.com/video/BV1gr4y1U7CY 1.Docker简介 解决了运行环境和配置问题的软件容器 方便做持续集成并有助于整体发布的容器虚拟化技术 容器与虚拟机比较 Docker 容器是在操作系统层面上实现虚拟化,直接复用本地主机的操作系统…

防反接电路设计和保姆级实测

文末有封面图!~!~ 注意:正确的防反接电路在实验C ​​​​​​​ 前言 一、实验器材 二、实验步骤 正确的电路在实验C 1 实验A: 2 实际A数据: 3 实验A结论 4 实验B 5 实际B数据: 6 实际B结论&…

服务器感染了.DevicData-D-XXXXXXXX勒索病毒,如何确保数据文件完整恢复?

引言: 勒索病毒成为网络安全的严峻挑战,而最新的.DevicData-D-XXXXXXXX勒索病毒更是引起广泛关注。本文将深入介绍.DevicData-D-XXXXXXXX勒索病毒的特征,提供恢复被其加密的数据文件的方法,并分享预防措施,以确保您的数…

ubuntu or MacOS 源码安装 fmt fmtlib

1,前情 提醒这个源代码需要从release中下载 打包好的,而直接用git clone下载不了,可能github上的这个git clone的链接仅仅是给fmt lib的开发者使用的吧; 下载fmtlib的release源代码u下载fmtlib的release源代码 2,解压编…

Jmeter实现服务器端后台接口性能测试!

实现目的 在进行服务器端后台接口性能测试时,需要连接到Linux服务器端,然后通过命令调用socket接口,这个过程就需要用到jmeter的SSH Command取样器实现了。 脚本实现 设置CSV Data Set ConFig配置元件,参数化测试数据 设置SSH…

条件变量--使两个线程实现交替打印

一、介绍 什么是条件变量? 条件变量(Condition Variable)是多线程编程中用于线程间通信和同步的一种机制。它通常与互斥锁(Mutex)一起使用,用于解决线程竞争和避免忙等待的问题。(条件变量不能…

【C++】C++中的String类详解及模拟实现示例

文章目录 string类简介string类的基本用法string类的常用方法string类的优势 string类的模拟实现存储结构头文件string.h源文件string.cpp源文件test.cpp string类简介 string类简介在C编程中,字符串是一种非常常见的数据类型,用于存储文本信息。C标准库…

卫浴企业做网站的效果如何

卫浴产品无论工程还是家庭中都有较高需求度,相关品牌或经销商也不少,然而在实际经营中,卫浴品牌商家也面临着一些痛点: 1、品牌宣传拓客难 卫浴产品并不缺客户,但大小品牌众多,商家想要突围绝非易事&…

【Pytorch】学习记录分享2——Tensor基础,数据类型,及其多种创建方式

pytorch 官方文档 Tensor基础,数据类型,及其多种创建方式 1. 创建 Creating Tensor: 标量、向量、矩阵、tensor2. 三种方法可以创建张量,一是通过列表(list),二是通过元组(tuple),三是通过Numpy的数组(arra…

java 家教管理系统Myeclipse开发mysql数据库web结构jsp编程计算机网页项目

一、源码特点 java 家教管理系统是一套完善的java web信息管理系统,对理解JSP java编程开发语言有帮助,系统具有完整的源代码和数据库,系统主要采用B/S模式开发。开发环境为 TOMCAT7.0,Myeclipse8.5开发,数据库为Mysql5.0&…

企业文档管理混乱?解密难题并找到高效解决方案!

由于大多数企业的内部文件都分散地存放在各员工电脑中,且没有使用文档管理系统,导致企业内部出现诸多文件安全隐患,例如: 1.文档分散存储在员工个人计算机中,当发生人事变动时文档常常遗失,且可能给企业造…

Ransac 算法的探索和应用

Ransac 算法python 应用和实现 Ransac 算法是一种常用的图像匹配算法,在参数估计领域也经常被使用到。针对估计各种曲线的鲁棒模型参数,效果显著。这里对ransac算法进行某些探索。 python program: import numpy as np import matplotlib.pyplot as p…

【Jmeter】Jmeter基础7-Jmeter元件介绍之后置处理器

后置处理器主要用于处理请求之后的操作,通常用来提取接口返回数据 2.7.1、JSON JMESPath Extractor 作用:可以通过JmesPath语法提取所需要的值使用场景:取样器返回格式为jsonJmesPath语法:参考https://jmespath.org/tutorial.htm…

怎么让mac右上角的时间不显示

时间成了影响工作效率和心态的一个东西,当我看不见时间的时候我是听命于我的平静而稳定的内心的,当时间时刻在我的眼前晃动的时候,我是慌乱而浮躁的,所以我决定在我工作的时候我不需要时间,我要听命于自己的状态&#…

2023自动化测试框架的设计原则你都知道吗?快来看!

1.代码规范 测试框架随着业务推进,必然会涉及代码的二次开发,所以代码编写应符合通用规范,代码命名符合业界标准,并且代码层次清晰。特别在大型项目、多人协作型项目中,如果代码没有良好的规范,那么整个框架…

自动化测试 (二) Web自动化测试原理

目前市面上有很多Web UI自动化测试框架,比如WatiN, Selinimu,WebDriver,还有VS2010中的Coded UI等等. 这些框架都可以操作Web中的控件,模拟用户输入,点击等操作,实现Web自动化测试。其实这些工具的原理都一样&#xf…