OneScan 是一款用于递归目录扫描的 BurpSuite 插件

A byte code analyzer for finding deserialization gadget chains in Java applications

xp_CAPTCHA(瞎跑 白嫖版) burp 验证码 识别 burp插件

分享几个直接可用的内存马，记录一下学习过程中看过的文章

建议使用新版：https://github.com/jar-analyzer/jar-analyzer

Nacos JRaft Hessian 反序列化 RCE 加载字节码 注入内存马 不出网利用

reCAPTCHA = REcognize CAPTCHA: A Burp Suite Extender that recognize CAPTCHA and use for intruder payload 自动识别图形验证码并用于burp intruder爆破模块的插件

纯 Java 实现的 MySQL Fake Server | 支持 GUI 版和命令行版 | 支持反序列化和文件读取的利用方式 | 支持常见的 GADGET 和自定义 GADGET 数据 | 根据目标环境自动生成匹配的 PAYLOAD | 支持 PGSQL 和 DERBY 的利用

关于学习java安全的一些知识,正在学习中ing,欢迎fork and star

解决FastJson、Jackson、Log4j2、原生JNDI注入漏洞的高版本JDKBypass利用，探测本地可用反序列化gadget达到命令执行、回显命令执行、内存马注入

spring boot Fat Jar 任意写文件漏洞到稳定 RCE 利用技巧

BurpSuite插件集成Ehole指纹库并进行常见OA弱口令爆破插件

Spring漏洞综合利用工具

JavaWeb MemoryShell Inject/Scan/Killer/Protect Research & Exploring

A tiny project for generating SnakeYAML deserialization payloads

IDEA代码审计辅助插件（深信服深蓝实验室天威战队强力驱动）

互联网厂商API利用工具。

WebLogic利用CVE-2020-2883打Shiro rememberMe反序列化漏洞，一键注册蚁剑filter内存shell

Burpsuite-Plugins-Usage

拿来即用的Tomcat7/8/9/10版本Listener/Filter/Servlet内存马，支持注入CMD内存马和冰蝎内存马

Some payloads of JNDI Injection in JDK 1.8.0_191+

一个利用ASM对字节码进行污点传播分析的静态代码审计应用（添加了大量代码注释，适合大家进行源码学习）。也加入了挖掘Fastjson反序列化gadget chains和SQLInject（JdbcTemplate、MyBatis、JPA、Hibernate、原生jdbc等）静态检测功能。并且加入了很多功能以方便进行漏洞自动化挖掘。

FilterBased/ServletBased in memory shell for Tomcat and some other middlewares

WEB批量请求器（WebBatchRequest）是对目标地址批量进行快速的存活探测、Title获取，简单的banner识别，支持HTTP代理以及可自定义HTTP请求用于批量的漏洞验证等的一款基于JAVA编写的轻量工具。

通过正则搜索、批量反编译特定Jar包中的class名称

CTF-Java-Gadget专注于收集CTF中Java赛题的反序列化片段

Demo code for post <Restrictions of JNDI Manipulation RCE & Bypass>

内存马学习

破解CS4.0