文章总结: TongWebEJBScan-Burp是一款针对东方通TongWeb服务器EJB反序列化漏洞的BurpSuite被动扫描插件。它通过流量驱动自动探测Host并验证漏洞,采用多策略回显判定降低误报,适合攻防演练与SRC挖掘中批量梳理资产暴露面。工具基于MontoyaAPI开发,以单个JAR文件分发,安装使用简便。 综合评分: 82 文章分类: 安全工具,漏洞分析,渗透测试,红队
【工具推荐】TongWebEJBScan-Burp
原创
CatalyzeSec CatalyzeSec
CatalyzeSec
2026年7月3日 18:37 湖北
在小说阅读器读本章
去阅读
工具介绍
TongWeb 是北京东方通科技推出的国产 Java EE 应用服务器,在政企、金融、能源等行业的中后台系统中广泛部署,其角色对标 Oracle WebLogic 与 IBM WebSphere。与同类中间件一样,TongWeb 通过 EJB 远程调用协议对外提供业务组件访问能力,而该协议在传输序列化对象时若缺乏类白名单校验,就会形成经典的 Java 反序列化攻击面,可直接导致远程代码执行。
TongWebEJBScan-Burp 是一款针对上述漏洞场景设计的 Burp Suite 被动扫描插件。它在用户正常浏览代理流量的同时,自动对途经的 Host 发起 EJB 协议探测,无需手工逐个测试,发现漏洞后在独立的 Tab 中聚合展示,适合在攻防演练与 SRC 挖掘中批量梳理资产暴露面。
安装使用
插件基于 Java 17 编译,使用前请确认 Burp Suite 自带 JRE 版本不低于 17。安装流程为标准的 Burp 扩展加载:
下载地址:https://github.com/Axyanzzzz/TongWebEJBScan-Burp/releases/download/V1.0/TongWebEJB-Burp-1.0-SNAPSHOT-all.jar
打开 Extensions Burp 顶部菜单 → Extensions(Extender)Tab,点击 Add在 Installed 子 Tab 中点击 Add 按钮,Extension type 选择 Java,在 Extension file 中选择下载的 JAR 文件
加载完成点击 Next,输出无报错即加载成功,「TongWeb 扫描」Tab 出现
使用浏览器访问目标系统,执行登录、跳转、查询等业务操作,插件会自动从代理流量中提取途经的 Host 清单。
插件对每个新出现的 Host 主动发起 EJB 协议探测,整个过程无需手动干预,不影响业务正常浏览。
功能及特点
相较于主动扫描器或 PoC 脚本,本插件主打「流量驱动 + 被动探测」路线,在业务浏览过程中自动完成资产梳理与漏洞验证。核心能力如下:
- Montoya API 原生集成基于 Burp Montoya API 开发,兼容 Burp Suite Community 与 Professional,加载即用,无需额外配置运行时环境。
- 流量驱动被动扫描从代理流量中自动提取 Host 清单,避免手工维护目标列表,适合大型资产梳理场景。
- EJB 协议主动探测对每个 Host 主动发起 EJB 协议探测,通过构造反序列化对象验证 TongWeb EJB 通信链路是否存在类白名单缺失。
- 多策略回显判定采用时间盲注、DNSLog / OOB 回连、异常特征匹配等组合策略,覆盖无回显与有回显两类漏洞场景,降低误报率。
- 独立结果面板独立的「TongWeb 扫描」Tab 聚合展示扫描结果,包含 Host、状态、漏洞证据等字段,便于结果复盘与报告导出。
- 非侵入式探测扫描过程与业务浏览完全解耦,不向目标注入破坏性 payload,适合在生产环境授权测试中使用。
- 轻量分发以单个 JAR 文件分发,Java 17 编译,跨平台运行,无第三方依赖冲突风险。
项目地址:https://github.com/Axyanzzzz/TongWebEJBScan-Burp
免责声明:本工具仅供安全研究与授权测试使用,请勿用于非法用途。未经授权对他人系统进行任何形式的测试均属违法行为,与作者及本文无关。请严格遵守《网络安全法》《数据安全法》以及目标 SRC 的测试范围约定。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:CatalyzeSec CatalyzeSec CatalyzeSec《【工具推荐】TongWebEJBScan-Burp》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论