文章总结: TongWebExploit是一款针对TongWeb反序列化漏洞的图形化检测与利用工具,支持漏洞探测、EL表达式执行、内存马注入及批量检测。该工具由安全研究员CurlySean开发,旨在填补国产中间件在红队工具链中的空白,适用于授权渗透测试和护网演练中的资产快速筛查。工具为单jar零依赖,需JDK8环境。 综合评分: 75 文章分类: 漏洞分析,红队,安全工具,渗透测试
TongWeb 反序列化的图形化检测与利用工具
原创
CurlySean CurlySean
不秃头的安全
2026年7月7日 15:57 北京
在小说阅读器读本章
去阅读
RED TEAM · 工具分享
一款工具,打通 TongWeb 反序列化全链路
前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。
知识星球(新增3000+报告漏洞库,搜集全网)和交流群在最下方。
需要cn*d(中高)/c2n*d(高与支撑单位)/安全证书请联系vx咨询
今天分享一款专注 TongWeb 反序列化场景的开源工具 — TongWebExploit,图形化界面,从探测到内存马注入一条龙搞定。
漏洞探测 · EL 表达式执行 · 内存马注入 · 批量检测
攻防演练中,国产中间件一直是被忽视的”盲区”。大部分红队工具链围绕 Tomcat、WebLogic、JBoss 打造,碰到东方通 TongWeb 往往只能手动调 Payload,效率低且容易遗漏。
授权声明本文仅用于安全研究与授权测试,请勿对未授权目标使用。所有操作应在合法授权范围内进行。
01 / OVERVIEW
工具概览:TongWebExploit 是什么
TongWebExploit 是一款面向 TongWeb 反序列化漏洞场景的 Swing 图形化检测与利用工具,由安全研究员 CurlySean 开发并开源。
核心能力:
-
▸
漏洞探测(Sleep / DNS 两种模式)
-
▸
EL 表达式执行
-
▸
内存马注入(基于 MemShellParty)
-
▸
自定义内存马(Base64 字节码)
-
▸
批量检测(多目标快速筛查)
02 / QUICKSTART
快速上手:三步启动
启动非常简单,下载 jar 直接运行:
java -jar TongWebExploit.jar
Releases 地址:
TongWebExploit v0.1.0
SHA-256 校验:
894690648988974d0e6af215527db8f776f93e513d84b3482329d5da83a2c98d
启动后在顶部输入目标 URL,可以填根地址,也可以直接填包含 /ejbserver/ejb 的完整入口地址。入口点默认选择 ALL,快速检测命中后会自动切换到可用入口点。
提示工具需要 JDK 8 环境。如果本机是 JDK 17+,建议单独安装 JDK 8 并指定
java路径运行,避免版本兼容问题。
03 / FEATURES
五大模块详解
1. 漏洞检测
支持两种探测方式:
-
▸
Sleep 探测:默认休眠 5 秒,使用内置阈值判断是否疑似存在漏洞
-
▸
DNS 探测:使用全局 DNSLOG 根域名,工具自动生成随机前缀
Sleep 探测适合内网低延迟场景,DNS 探测适合不出网但能解析外部域名的环境。
2. EL 表达式执行
支持自定义 EL 表达式。
默认表达式为 Runtime 调用示例,可按需修改执行任意命令。需要注意:EL 执行通常不保证响应体回显,界面会以提示方式展示发送状态。
3. 内存马注入
基于 MemShellParty 生成内存马,支持配置:
-
▸
工具类型(冰蝎 / 蚁剑 / 哥斯拉等)
-
▸
组件类型(Filter / Servlet / Listener 等)
-
▸
连接密码 pass 和密钥 key
注入成功后会展示工具类型、组件类型、类名和连接所需参数,直接填入客户端即可连接。
4. 自定义内存马
支持传入 Base64 编码字节码进行自定义内存马注入。适合需要注入特殊内存马(如 Suo5 隧道型、定制型)的场景。
5. 批量检测
支持两种导入方式:
-
▸
直接粘贴多个目标 URL(每行一个)
-
▸
从文件导入目标列表
同样支持 Sleep / DNS 两种检测模式,输出每个目标是否疑似存在漏洞,便于快速筛查大规模资产。
注意批量检测时建议使用 DNS 探测模式,Sleep 模式在大量目标时耗时较长。
04 / CONFIG
全局配置说明
通过顶部「设置」菜单可配置三项全局参数:
| 配置项 | 说明 | 示例 |
| — | — | — |
| Header 设置 | 配置全局请求头,可添加自定义 Header | X-Forwarded-For: 127.0.0.1 |
| 代理设置 | 支持 HTTP / SOCKS5 代理 | socks5://127.0.0.1:1080 |
| DNSLOG 设置 | 配置 DNS 探测使用的根域名 | xxx.dnslog.cn |
代理设置在需要通过跳板机探测内网 TongWeb 时非常有用。
05 / SCENARIOS
实战场景建议
-
1
资产发现阶段:使用批量检测模块,对收集到的 IP+端口列表进行快速扫描,筛出存在漏洞的 TongWeb 实例
-
2
单点突破阶段:对命中目标进行漏洞检测确认,切换到 EL 表达式执行模块执行
whoami确认权限 -
3
持久化阶段:通过内存马注入模块注入冰蝎/哥斯拉内存马,获取持久 Webshell
-
4
内网横向阶段:配置 SOCKS5 代理,从已控 TongWeb 跳板探测内网其他 TongWeb 实例
| 配置项 | 说明 | 示例 |
| — | — | — |
| Header 设置 | 配置全局请求头,可添加自定义 Header | X-Forwarded-For: 127.0.0.1 |
| 代理设置 | 支持 HTTP / SOCKS5 代理 | socks5://127.0.0.1:1080 |
| DNSLOG 设置 | 配置 DNS 探测使用的根域名 | xxx.dnslog.cn |
代理设置在需要通过跳板机探测内网 TongWeb 时非常有用。
06 / SUMMARY
总结
TongWebExploit 填补了 TongWeb 反序列化场景下工具链的空白。作为一款单 jar 零依赖的图形化工具,上手成本低,适合:
-
▸
护网演练中快速筛查 TongWeb 资产
-
▸
授权渗透测试中高效利用 TongWeb 漏洞
-
▸
安全团队纳入日常资产巡检流程
项目地址:https://github.com/CurlySean/TongWebExploit
致谢:ReaJason/MemShellParty — 内存马生成核心依赖库
📄往期推荐:
CVE-2026-42588:Apache ActiveMQ Jolokia 远程代码执行漏洞深度分析
渗透+SRC 零散挖洞案例合集
渗透测试|从账号枚举到未授权访问,再到白盒RCE的一次渗透测试实录
DDDD-DL 自动化测试工具(增强版)
关于我们:
感谢各位大佬们关注-不秃头的安全,后续会坚持更新渗透漏洞思路分享、安全测试、好用工具分享以及挖掘SRC思路等文章,同时会组织不定期抽奖,希望能得到各位的关注与支持,考证请加联系vx咨询。
1. 需要考以下各类安全证书的可以联系
①Cn*d,NCC,NVDB🀄️高漏洞证书
②CNNVD中高\漏洞情报\ 一二三级支撑单位均可协助获得
③CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CCRC\CCSC、itil、软考中高级、CDSP各种类、CISA,oscp等等巨优惠。ISO27001、ITss服务项目经理报名等下证即可,证书组团报更便宜,可对公,可开专普票。以下是其他全部证书
【腾讯文档】【信息安全 数据安全 IT认证证书】~不秃头的安全Vx:Meditation0723
https://docs.qq.com/doc/DZmtOckpOakJrcFVv?#
想加群下方二维码,群过期或群满加下方vx拉:
2. 需要入星球的可以私聊优惠
1、src、cnxd、cnnxd、POC专项漏洞知识库,包含原理、挖掘技巧、实战案例
2、fafo/零零信安 高级会员key
3、全网搜集POC在线文档,详情poc及证明截图(3000+以上文章)
4、知识星球专属微信“内部圈子交流群”
5、攻防演练资源分享(免杀、溯源、钓鱼等)
6、新鲜工具分享
7、不定期有工作招聘内推(工作/护网内推)
8、19个专栏会持续更新~提前续费有优惠,好用不贵很实惠
3、其他合作(合法合规)
1、承接红蓝攻防、渗透、安全意识培训、基线核查及加固、应急响应、重保防守、代码审计等安全项目(须授权),需要攻防团队或岗位招聘都可代发、代招(灰黑勿扰);
2、各位安全老板需要文章推广的请私聊,承接合法合规推广文章发布,可直发、可按产品编辑推广;合作、推广代发、安全项目、岗位代招均可发布;
3、接受脱敏投稿,送一年知识星球及礼包。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:不秃头的安全 CurlySean CurlySean《TongWeb 反序列化的图形化检测与利用工具》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论