0x01 ysoserial简介

ysoserial是一款在Github开源的知名java 反序列化利用工具,里面集合了各种java反序列化payload。
github上提示说 JRE <= 1.7u21 ,但是我安装提示下载jdk-1.7u21进行编译时,会报错,所以记录一下。

0x02 jitpack.io下载jar包

ysoserial上提示下载 Download Latest Snapshot,通过查看jitpack.io上关于此jar包的build.log,发现jdk-8u25可以正常编译ysoserial,所以思路就是下载jdk-8u25。

0x03 下载对应jdk

下载地址: https://www.oracle.com/java/technologies/javase/javase8-archive-downloads.html
找到jdk-8u25-linux-x64.tar.gz下载即可,这里需要注册oracle,然后就可以正常下载。

0x04 安装jdk-8u25

tar -xzvf jdk-8u25-linux-x64.tar.gz
mv jdk1.8.0_25/ /usr/local/lib/jvm
cd /usr/local/lib
重命名 
mv jvm jdk1.8
export JAVA_HOME=/usr/local/lib/jdk1.8/ 
export JRE_HOME=JAVAHOME/jreexportCLASSPATH=.:{JAVA_HOME}/lib:JREHOME/libexportPATH={JAVA_HOME}/bin:$PATH
update-alternatives --install /usr/bin/java java /usr/local/lib/jdk1.8/bin/java 1 
update-alternatives --install /usr/bin/javac javac /usr/local/lib/jdk1.8/bin/javac 1
update-alternatives --set java /usr/local/lib/jdk1.8/bin/java
update-alternatives --set javac /usr/local/lib/jdk1.8/bin/javac
这个时候就成功了,打印java -version 

0x05 安装maven

apt install maven

0x06编译ysoserial

cd ysoserial
mvn clean package -DskipTests

最后在target目录便生成了ysoserial-0.0.6-SNAPSHOT-all.jar包。

Last modification:January 3rd, 2021 at 03:59 pm