JavaRce
Common Exploitation Techniques for Java RCE Vulnerabilities in Real-World Scenarios | 实战场景较通用的 Java Rce 相关漏洞的利用方式
Install / Use
/learn @Whoopsunix/JavaRceREADME
JavaRce
By. Whoopsunix
0x00 do what?
🚀 对照实战场景梳理较通用的 Java Rce 相关漏洞的利用方式 记录在 VulnCore 中,参考 cwe 标准构建
🚩 子目录 VulnCore 给出 Java 利用方式,具体覆盖量见对应 README.md 文件
⛳️ 配套测试靶场 SecVulns 主要针对 DevSecOps 场景构建(IAST、RASP、SAST),采用 httpREST 实现批量测试。大多数 Java 靶场都把注意力集中在 Spring、Tomcat 组件上,之后会引入更多组件丰富 Source 点
🪝 EXP: 反序列化框架 PPPYSO 集成了部分内容
🚧 Protection: PPPRASP 基于 jvm-sandbox 对 VulnCore 中的漏洞实现防护(仅实现关键函数的 HOOK,不作进一步处理)
🛰 Detection: 基于 joern 实现漏洞检测
PS
因为是漏洞测试环境,难免会引入部分没法直接拉取的依赖(太老了中央仓库移除、或者没有魔法上网)
可以到 https://mvnrepository.com/ 手动下载 jar 包到本地 maven 仓库
举个例子 下载 c3p0 0.9.5.2 依赖放到本地的 /.m2/repository/com/mchange/c3p0/0.9.5.2 目录下
Stats
Related Skills
node-connect
337.3kDiagnose OpenClaw node connection and pairing failures for Android, iOS, and macOS companion apps
frontend-design
83.2kCreate distinctive, production-grade frontend interfaces with high design quality. Use this skill when the user asks to build web components, pages, or applications. Generates creative, polished code that avoids generic AI aesthetics.
openai-whisper-api
337.3kTranscribe audio via OpenAI Audio Transcriptions API (Whisper).
commit-push-pr
83.2kCommit, push, and open a PR
