文章总结： YsoGUI是一款面向Java反序列化测试的桌面GUI工具，整合了ysoserial、marshalsec和Y4er模板库，提供Payload生成、JNDI/LDAP/RMI利用、调用图编辑等功能。工具支持多种编码格式输出和自定义链导入，但明确表示内存马功能不作为稳定能力推荐使用，建议优先使用已验证的利用路径。 综合评分： 77 文章分类： 安全工具,WEB安全,渗透测试,代码审计,红队

一个面向 Java 反序列化测试的桌面 GUI 工具

wr0ld wr0ld

夜组安全

2026年5月11日 08:00 青海

在小说阅读器读本章

去阅读

免责声明

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！所有工具安全性自测！！！VX：NightCTI

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把夜组安全“设为星标”，否则可能就看不到了啦！

工具介绍

YsoGUI一个面向 Java 反序列化测试的桌面 GUI 工具。 当前项目主要围绕：

• ysoserial
• marshalsec
• Y4er 扩展的 CLASS: 模板

做统一的可视化封装。

工具使用

java -jar target/YsoGUI-1.0.0.jar

首次启动后：

1. 加载 ysoserial.jar
2. 如需 JNDI Reference / LDAP 反序列化，再加载 marshalsec.jar

当前功能

1. Payload 生成

支持从 ysoserial.jar 动态扫描链并生成 payload。

支持输出格式：

• Base64
• Gzip+Base64
• URL 编码
• Base64+URL 编码
• Hex
• Hex Dump
• Raw

支持：

• 普通命令参数
• CLASS:模板名
• 自定义 ObjectPayload 链

2. Exploit 模块

当前保留并可用的利用方式：

• RMI Registry
• JRMP Listener
• JNDI / LDAP Remote Reference
• JNDI / LDAP 反序列化
• JNDI / RMI Remote Reference

当前 不提供：

• JNDI / RMI 反序列化

原因很简单：这条路径实现复杂、稳定性差，当前版本不作为正式功能提供。

3. JNDI 模式说明

LDAP

支持两种模式：

• 远程 Reference（6u211 / 7u201 / 8u191 / 11.0.1）
• 反序列化

RMI

只保留一种模式：

• 远程 Reference（6u132 / 7u122 / 8u113）

4. 调用图编辑

支持：

• 查看内置链调用图
• 编辑节点/连边
• 保存用户自定义图
• 重置为内置图

5. 自定义链

支持导入你自己写的 ObjectPayload 实现类。

要求：

• 必须实现 ysoserial.payloads.ObjectPayload
• 导入的是已编译好的 .class

6. 内存马相关

项目里保留了内置模板 / 内存马相关管理代码，但当前版本 不建议作为主功能使用。

原因：

• 这部分兼容性强依赖具体链、容器和目标环境
• 不同链对 TemplatesImpl / class 字节码加载路径并不一致
• 工程上很难承诺“任意模板、任意容器、任意版本”都稳定

所以当前更推荐的用法是：

• 把它当成辅助能力
• 优先使用已经验证过的 payload / JNDI 路径
• 不把内存马部分当成当前版本的稳定能力

工具获取

点击关注下方名片进入公众号

回复关键字【260511】获取下载链接

往期精彩

[攻防、SRC必备插件 | 前端资产采集、嗅探、指纹扫描、泄露扫描、漏洞审计与 Vue Router 分析

2026-05-09

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496793&idx=1&sn=f10685d09ce9e98c87c3a13e17a7cd2a&scene=21#wechatredirect)[AI 驱动的 Web 加密流量渗透测试自动化代理框架 | 专为解决前端加密 Web 应用的流量加解密问题

2026-05-08

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496751&idx=1&sn=37cdb1c9332b0d6171f02836b05d8b31&scene=21#wechatredirect)[BurpSuite Payload 笔记管理插件，支持自定义二级分类、实时搜索、一键复制

2026-05-07

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496737&idx=1&sn=1dd956b31bd36ccf856120a5fd2da81f&scene=21#wechatredirect)[40x 状态码绕过工具，集成多种绕过策略，快速检测和绕过 Web 应用访问限制

2026-05-05

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496731&idx=1&sn=58ce141f4225cb04a0c6608dc12d7a80&scene=21#wechatredirect)[聚合多源 0day/1day RCE 情报 | 20+ 源 → RCE 过滤 → SQLite 去重 → Telegram 推送

2026-04-29

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496719&idx=1&sn=130193d95498fc287b72babc400045ef&scene=21#wechatredirect)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夜组安全 wr0ld wr0ld《一个面向 Java 反序列化测试的桌面 GUI 工具》