文章总结: 文档介绍了红队工具yso-gui,专注Java反序列化利用。集成CB、CC等利用链,支持DNS与延迟探测。具备内存马注入功能,兼容主流Webshell且无需落盘。提供UID指定与Xalan兼容模式适配复杂环境,支持中间件识别及Shiro漏洞利用包括payload分片。该工具显著提升了渗透实战效率与隐蔽性。 综合评分: 81 文章分类: 安全工具,红队,漏洞POC,WEB安全,渗透测试
红队内部版yso-gui工具分享
原创
hyyrent hyyrent
0xSecurity
2026年3月10日 18:24 广东
#
工具链接见文末
#
yso-gui 的核心功能主要包括:
1. 反序列化利用链支持
工具内置多种常见 Java 反序列化利用链,包括:
- CommonsBeanutils(CB)
- CommonsCollections(CC)
- Jackson
- 二次反序列化链
- Rhino(其中 Rhino3 适用于高版本环境)
这些利用链可用于构造反序列化 payload,实现命令执行或代码加载。
2. 漏洞探测能力
为了在未知环境中识别可利用条件,yso-gui 提供两类探测 Gadget:
1)DNS 探测
用于检测目标是否触发反序列化:
FindClassByDNSFindSingleClassByDNS
通过 DNS 请求确认类是否被加载。
2)时间延迟探测
用于验证利用链是否执行:
SleepGadget
通过延迟响应时间确认 payload 是否被执行。
二、内存马注入能力
yso-gui 支持在反序列化利用成功后 直接注入 Java 内存马。
支持的内存马类型包括:
- 改版 Neoreg5
- 改版 哥斯拉
- suo5
- 自定义内存马
工具通过反射方式获取 ServletContext / StandardContext,再注册 Listener 或 Filter,从而实现内存级 WebShell 持久化。
典型流程:
- 触发反序列化链
- 执行字节码加载
- 注册 Listener / Filter
- 通过特定请求头访问内存马
该方式无需写入磁盘,具有较强隐蔽性。
三、利用链兼容与扩展
1. TemplatesImpl UID 指定
反序列化利用常依赖:
TemplatesImpl
在 UID 不一致时,工具允许 手动指定 UID 以适配不同 JDK 或库版本。
2. Xalan 兼容模式
默认利用链使用:
com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl
当目标环境不存在该类时,可切换为:
org.apache.xalan.xsltc.trax.TemplatesImpl
常用于适配 旧版本 WebSphere 等环境。
四、目标环境识别
工具提供中间件与利用链判断机制。
1. 中间件识别
通过 FindMiddlewareEchoGadget 返回头部信息识别:
示例:
Transfer-decoded: jbossAS4
可识别部分 Java 中间件环境。
部分中间件(如 WebSphere 6)只在访问存在资源时触发 Listener,因此需要访问有效路径。
2. 利用链执行检测
SleepGadget 通过响应时间判断 payload 是否执行。
例如:
payload sleep 5s
若响应延迟则说明链条成功触发。
五、Shiro 利用支持
工具支持针对 Apache Shiro 的 rememberMe 反序列化漏洞利用。
支持两种加密模式:
- AES-CBC(旧版本)
- AES-GCM(新版本)
常见默认 key:
kPH+bIxk5D2deZiIxcaaaA==
工具会生成:
.ser文件(rememberMe Cookie)shiroParam.txt(参数数据)
并支持 payload 分片发送 以绕过 rememberMe 长度限制。
私信发送 ysogui 获取工具
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:0xSecurity hyyrent hyyrent《红队内部版yso-gui工具分享》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论