专项扫描神器|被动自动化检测东方通EJB反序列化RCE+主动内存马注入

admin 2026-06-30 08:54:03 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档介绍东方通TongWebEJB反序列化高危漏洞(CVSS9.8)及专用Burp被动扫描插件TongWebEJBScan-Burp。漏洞原理为/ejbserver/ejb接口未校验反序列化数据导致远程代码执行,影响政企金融系统。插件可实现代理流量自动检测、内存马注入、EL表达式执行等功能,相比主动扫描更隐蔽高效。提供了官方加固方案与工具获取渠道。 综合评分: 82 文章分类: 漏洞分析,安全工具,渗透测试,解决方案,应急响应


cover_image

专项扫描神器|被动自动化检测东方通EJB 反序列化RCE+主动内存马注入

Axyanzzzz Axyanzzzz

鹏组安全

2026年6月22日 23:59 江西

在小说阅读器读本章

去阅读

国产化替代浪潮下,东方通 TongWeb 已广泛落地政务、金融、央企等关键业务系统。此前爆出的TongWeb ejbserver 反序列化远程代码执行漏洞(高危 CVSS 9.8),可无权限直接拿下服务器,风险极高。常规人工扫描、主动 POC 批量发包效率低、容易漏测;今天给大家分享一款专属 Burp 被动扫描插件 ——TongWebEJBScan-Burp,代理浏览流量自动检测,无需手动发包,渗透、巡检、资产自查必备工具。

为什么 TongWeb EJB 漏洞必须重点排查

1. 漏洞原理

TongWeb 默认对外开放/ejbserver/ejb接口,后端ServerServlet未校验外部请求,直接接收二进制 EJB RPC 数据,执行readObject()反序列化时无类黑白名单限制,攻击者构造恶意序列化载荷即可执行任意系统命令,完整控制服务器。

2.高危危害

  • 无需登录、无前置权限,公网暴露即可直接利用
  • 远程代码执行、窃取核心业务数据、横向渗透内网
  • 政企、金融国产化系统大量使用,暴露面广,上线漏加固案例极多

3. 官方临时加固方案

  1. 未使用 EJB 服务:启动参数禁用 EJB-Dcom.tongweb.tongejb.server.httpd.ServerServlet.activated=false
  2. 需保留 EJB 能力:配置序列化黑白名单、客户端 IP 白名单,并安装官方安全补丁
  3. 完整安装 & 使用教程

安装教程

在 Burp Suite 中导入插件 JAR 文件Extensions → Add → 选择 TongWebEJB-Burp.jar

使用教程

开启 Burp 代理,正常访问目标系统插件自动在后台对经过的 Host 进行漏洞检测检测结果在 TongWeb扫描 Tab 中查看

工具实测效果

日常渗透时,一边爬取站点目录、抓业务数据包,插件同步完成 TongWeb 漏洞检测,不用单独开 POC 脚本批量扫描,大幅减少操作步骤。相比主动批量扫描:

  • 不会产生大量请求触发 WAF / 流量告警
  • 边测边扫,不额外消耗时间,避免漏测站点二级域名、子系统
  • 适合无法大规模发包的内网、生产环境巡检

进一步利用

检测存在即可使用TongWeb 反序列化漏洞场景的图形化检测与利用工具

漏洞检测

  • 支持 Sleep 探测和 DNS 探测。
  • Sleep 探测默认休眠时间为 5 秒,并使用内置阈值判断是否疑似存在漏洞。
  • DNS 探测使用全局 DNSLOG 根域名,工具会自动生成随机前缀。

EL 表达式执行

  • 支持自定义 EL 表达式。
  • 默认表达式为 Runtime 调用示例,可按需修改。
  • EL 执行通常不保证响应体回显,界面会以提示方式展示发送状态。

内存马注入

  • 支持基于 MemShellParty 生成内存马。
  • 可选择工具类型、组件类型,并配置 passkey
  • 注入后会展示工具类型、组件类型、类名和连接所需参数。

工具获取

微信公众号:鹏组安全后台回复TongWeb获取

鹏组安全社区站:您身边的安全专家-情报 | 攻防 | 渗透 | 线索 | 资源社区

扫码关注

社区

鹏组安全社区:comm.pgpsec.cn

专注网络技术与骇客的一个综合性技术性交流与资源分享社区

老用户续费88折扣

社区首页

互助中心

免责声明

由于传播、利用本公众号鹏组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号鹏组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

好文分享收藏赞一下最美点在看哦


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:鹏组安全 Axyanzzzz Axyanzzzz《专项扫描神器|被动自动化检测东方通EJB 反序列化RCE+主动内存马注入》

评论:0   参与:  0