文章总结： 这是一款名为IWannaGetAll-vFinal的多OA安全漏洞检测工具，整合了470个针对用友、泛微、Jeecg等国内主流OA系统的漏洞检测与利用逻辑。工具特色是内置DNSLog联动机制，能有效解决反序列化、XXE等无回显漏洞的验证难题，同时集成内存马注入、JDK高版本绕过等实用模块，大幅提升OA安全检测效率。工具支持Java8一键启动，可批量检测最多10个IP地址，并能导出检测报告。文档强调该工具仅面向合法授权的企业安全建设行为，使用前需确保符合当地法律法规并取得足够授权。 综合评分： 83 文章分类： 渗透测试,漏洞分析,安全工具,WEB安全,漏洞POC

470 漏洞 + DNSLog 联动！多 OA 安全漏洞高效检测工具最终版|工具分享

R4gd0ll

渗透安全HackTwo

2025年12月18日 00:00 广东

0x01 工具介绍

一款面向安全研究者的多 OA 安全漏洞检测工具最终版分享，针对用友、泛微、Jeecg 等国内主流 OA 系统打造，整合 470 个 OA 相关漏洞的检测与利用逻辑，内置 DNSLog 联动机制，可高效解决反序列化、XXE 等无回显漏洞的验证难题，同时集成内存马注入、JDK 高版本绕过等实用模块，大幅提升 OA 安全检测的效率。

注意：现在只对常读和星标的公众号才展示大图推送，建议大家把渗透安全HackTwo“设为星标⭐️“否则可能就看不到了啦！

下载地址在末尾 #渗透安全HackTwo

0x02 功能简介

✨ 功能一览

集成漏洞系统包括：用友、泛微、蓝凌、万户、致远、通达、帆软、金蝶、金和、红帆、宏景、浪潮、普元、亿赛通、海康威视、飞企互联、大华DSS、jeecg-boot

集成memshell功能：用友NC、用友U8C、亿赛通、帆软channel、jeecgboot注入内存马。

ATT模块

DNSLog配置

可通过初始化或手动获取dnslog，测试查看结果。XXE、JNDI、Serial反序列化漏洞均使用dnslog与echo方式进行检测。

List批量检测模块

目前调试不完善，但可以使用，IP地址数量限制最多10个。

导出报告

0x03更新说明

（1）增加List、JavaMSGenerator、Ysoserial、JeecgReportDatabase模块（2）优化漏洞检测方式，用友部分serial反序列化采用DNSLog与CmdEcho方式回显检测。（3）内置调用Dnslog平台接口并进行初始化，dnslog地址: http://www.dnslog.cn （若初始化失败以及未获取dnslog地址请检查网络情况，dns建议配置223.5.5.5）（4）优化HTTP请求配置，如若使用Jeecg后台漏洞，需指定token头 新增多种利用模块，集成及二开安全知名项目功能并添加个人安全研究成果，本地均实现利用。

0x04 使用介绍

📦Java8一键启动

Java8 -jar .\IWannaGetAll-vFinal.jar

免责说明

本工具仅面向合法授权的企业安全建设行为，如您需要测试本工具的可用性，请自行搭建靶机环境。

在使用本工具进行检测时，您应确保该行为符合当地的法律法规，并且已经取得了足够的授权。请勿对非授权目标进行扫描。

如您在使用本工具的过程中存在任何非法行为，您需自行承担相应后果，本人将不承担任何法律及连带责任。

在安装并使用本工具前，请您务必审慎阅读、充分理解各条款内容，限制、免责条款或者其他涉及您重大权益的条款可能会以加粗、加下划线等形式提示您重点注意。 除非您已充分阅读、完全理解并接受本协议所有条款，否则，请您不要安装并使用本工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的，即视为您已阅读并同意本协议的约束

0x05 内部VIP星球介绍-V1.4（福利）

如果你想学习更多渗透测试技术/应急溯源/免杀工具/挖洞SRC赚取漏洞赏金/红队打点等欢迎加入我们内部星球可获得内部工具字典和享受内部资源和内部交流群，每天更新1day/0day漏洞刷分上分(2025POC更新至4998+)，包含全网一些付费扫描工具及内部原创的Burpsuite自动化漏洞探测插件/漏扫工具等，AI代审工具，最新挖洞技巧等。shadon/Zoomeye/Quake/Fofa高级会员，CTFShow等各种账号会员共享。详情点击下方链接了解，觉得价格高的师傅后台回复” 星球 “有优惠券名额有限先到先得❗️啥都有❗️全网资源最新最丰富❗️**（🤙截止目前已有2300+多位师傅选择加入❗️早加入早享受）

最新漏洞情报分享：https://t.zsxq.com/h1OmM

👉点击了解加入–>>内部VIP知识星球福利介绍V1.4版本-1day/0day漏洞库及内部资源更新

结尾

免责声明

获取方法

公众号回复20251218获取下载

最后必看-免责声明

文章中的案例或工具仅面向合法授权的企业安全建设行为，如您需要测试内容的可用性，请自行搭建靶机环境，勿用于非法行为。如用于其他用途，由使用者承担全部法律及连带责任，与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。本工具或文章或来源于网络，若有侵权请联系作者删除，请在24小时内删除，请勿用于商业行为，自行查验是否具有后门，切勿相信软件内的广告！

往期推荐

1.内部VIP知识星球福利介绍V1.4（AI自动化工具）

2.CS4.8-CobaltStrike4.8汉化+插件版

3.全新升级BurpSuite2025.12专业(稳定版)

4.最新xray1.9.11高级版下载Windows/Linux

5.最新HCL AppScan Standard

渗透安全HackTwo

微信号：关注公众号获取

后台回复星球加入：知识星球

扫码关注 了解更多

上一篇文章：Nacos配置文件攻防思路总结|揭秘Nacos被低估的攻击面

查看原文：《470 漏洞 + DNSLog 联动！多 OA 安全漏洞高效检测工具最终版|工具分享》