Home

目前渗透攻击人员编写Java反序列化漏洞EXP时，会采取两种方式：

1.使用脚本语言编写，python，go等，执行不同命令时动态拼接字节码。

2.使用Java编写，直接Java生成序列化数据

3.上面两种结合，python命令行调用ysoserial等jar包，生成序列化数据，再使用pythoon读取

上面方式各有优劣：

使用python编写，执行不同命令拼接字节码时工作量大；

使用Java编写，没有可以媲美requests的http库，编写成本较高，且需要目标依赖库过于臃肿，且会遇到suid不匹配等问题；

第三种看起来结合前两种优势，但是命令行调用总不优雅，且某些条件下并不适用

javaSerializationDump，支持通过JSON数据配置的方式动态生成Java序列化字节码，省去了exp编写人员肉眼分析序列化字节码，同时还可以使用python快速编写出攻击逻辑。