TongWeb反序列化的图形化检测与利用工具

admin 2026-07-11 05:24:19 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: TongWebExploit是一款针对TongWeb反序列化漏洞的图形化检测与利用工具,支持漏洞探测、EL表达式执行、内存马注入及批量检测。该工具由安全研究员CurlySean开发,旨在填补国产中间件在红队工具链中的空白,适用于授权渗透测试和护网演练中的资产快速筛查。工具为单jar零依赖,需JDK8环境。 综合评分: 75 文章分类: 漏洞分析,红队,安全工具,渗透测试


cover_image

TongWeb 反序列化的图形化检测与利用工具

原创

CurlySean CurlySean

不秃头的安全

2026年7月7日 15:57 北京

在小说阅读器读本章

去阅读

RED TEAM · 工具分享

一款工具,打通 TongWeb 反序列化全链路

前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。
知识星球(新增3000+报告漏洞库,搜集全网)和交流群在最下方。
需要cn*d(中高)/c2n*d(高与支撑单位)/安全证书请联系vx咨询

今天分享一款专注 TongWeb 反序列化场景的开源工具 — TongWebExploit,图形化界面,从探测到内存马注入一条龙搞定。

漏洞探测 · EL 表达式执行 · 内存马注入 · 批量检测

攻防演练中,国产中间件一直是被忽视的”盲区”。大部分红队工具链围绕 Tomcat、WebLogic、JBoss 打造,碰到东方通 TongWeb 往往只能手动调 Payload,效率低且容易遗漏。

授权声明本文仅用于安全研究与授权测试,请勿对未授权目标使用。所有操作应在合法授权范围内进行。

01 / OVERVIEW

工具概览:TongWebExploit 是什么

TongWebExploit 是一款面向 TongWeb 反序列化漏洞场景的 Swing 图形化检测与利用工具,由安全研究员 CurlySean 开发并开源。

核心能力:

  • 漏洞探测(Sleep / DNS 两种模式)

  • EL 表达式执行

  • 内存马注入(基于 MemShellParty)

  • 自定义内存马(Base64 字节码)

  • 批量检测(多目标快速筛查)

02 / QUICKSTART

快速上手:三步启动

启动非常简单,下载 jar 直接运行:

java -jar TongWebExploit.jar

Releases 地址:

TongWebExploit v0.1.0

SHA-256 校验:

894690648988974d0e6af215527db8f776f93e513d84b3482329d5da83a2c98d

启动后在顶部输入目标 URL,可以填根地址,也可以直接填包含 /ejbserver/ejb 的完整入口地址。入口点默认选择 ALL,快速检测命中后会自动切换到可用入口点。

提示工具需要 JDK 8 环境。如果本机是 JDK 17+,建议单独安装 JDK 8 并指定 java 路径运行,避免版本兼容问题。

03 / FEATURES

五大模块详解

1. 漏洞检测

支持两种探测方式:

  • Sleep 探测:默认休眠 5 秒,使用内置阈值判断是否疑似存在漏洞

  • DNS 探测:使用全局 DNSLOG 根域名,工具自动生成随机前缀

Sleep 探测适合内网低延迟场景,DNS 探测适合不出网但能解析外部域名的环境。

2. EL 表达式执行

支持自定义 EL 表达式。

默认表达式为 Runtime 调用示例,可按需修改执行任意命令。需要注意:EL 执行通常不保证响应体回显,界面会以提示方式展示发送状态。

3. 内存马注入

基于 MemShellParty 生成内存马,支持配置:

  • 工具类型(冰蝎 / 蚁剑 / 哥斯拉等)

  • 组件类型(Filter / Servlet / Listener 等)

  • 连接密码 pass 和密钥 key

注入成功后会展示工具类型、组件类型、类名和连接所需参数,直接填入客户端即可连接。

4. 自定义内存马

支持传入 Base64 编码字节码进行自定义内存马注入。适合需要注入特殊内存马(如 Suo5 隧道型、定制型)的场景。

5. 批量检测

支持两种导入方式:

  • 直接粘贴多个目标 URL(每行一个)

  • 从文件导入目标列表

同样支持 Sleep / DNS 两种检测模式,输出每个目标是否疑似存在漏洞,便于快速筛查大规模资产。

注意批量检测时建议使用 DNS 探测模式,Sleep 模式在大量目标时耗时较长。

04 / CONFIG

全局配置说明

通过顶部「设置」菜单可配置三项全局参数:

| 配置项 | 说明 | 示例 | | — | — | — | | Header 设置 | 配置全局请求头,可添加自定义 Header | X-Forwarded-For: 127.0.0.1 | | 代理设置 | 支持 HTTP / SOCKS5 代理 | socks5://127.0.0.1:1080 | | DNSLOG 设置 | 配置 DNS 探测使用的根域名 | xxx.dnslog.cn |

代理设置在需要通过跳板机探测内网 TongWeb 时非常有用。

05 / SCENARIOS

实战场景建议

  1. 1

    资产发现阶段:使用批量检测模块,对收集到的 IP+端口列表进行快速扫描,筛出存在漏洞的 TongWeb 实例

  2. 2

    单点突破阶段:对命中目标进行漏洞检测确认,切换到 EL 表达式执行模块执行 whoami 确认权限

  3. 3

    持久化阶段:通过内存马注入模块注入冰蝎/哥斯拉内存马,获取持久 Webshell

  4. 4

    内网横向阶段:配置 SOCKS5 代理,从已控 TongWeb 跳板探测内网其他 TongWeb 实例

| 配置项 | 说明 | 示例 | | — | — | — | | Header 设置 | 配置全局请求头,可添加自定义 Header | X-Forwarded-For: 127.0.0.1 | | 代理设置 | 支持 HTTP / SOCKS5 代理 | socks5://127.0.0.1:1080 | | DNSLOG 设置 | 配置 DNS 探测使用的根域名 | xxx.dnslog.cn |

代理设置在需要通过跳板机探测内网 TongWeb 时非常有用。

06 / SUMMARY

总结

TongWebExploit 填补了 TongWeb 反序列化场景下工具链的空白。作为一款单 jar 零依赖的图形化工具,上手成本低,适合:

  • 护网演练中快速筛查 TongWeb 资产

  • 授权渗透测试中高效利用 TongWeb 漏洞

  • 安全团队纳入日常资产巡检流程

项目地址:https://github.com/CurlySean/TongWebExploit

致谢:ReaJason/MemShellParty — 内存马生成核心依赖库

📄往期推荐:

CVE-2026-42588:Apache ActiveMQ Jolokia 远程代码执行漏洞深度分析

渗透+SRC 零散挖洞案例合集

渗透测试|从账号枚举到未授权访问,再到白盒RCE的一次渗透测试实录

DDDD-DL 自动化测试工具(增强版)

关于我们:

感谢各位大佬们关注-不秃头的安全,后续会坚持更新渗透漏洞思路分享、安全测试、好用工具分享以及挖掘SRC思路等文章,同时会组织不定期抽奖,希望能得到各位的关注与支持,考证请加联系vx咨询。

1. 需要考以下各类安全证书的可以联系

①Cn*d,NCC,NVDB🀄️高漏洞证书

②CNNVD中高\漏洞情报\ 一二三级支撑单位均可协助获得

③CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CCRC\CCSC、itil、软考中高级、CDSP各种类、CISA,oscp等等巨优惠。ISO27001、ITss服务项目经理报名等下证即可,证书组团报更便宜,可对公,可开专普票。以下是其他全部证书

【腾讯文档】【信息安全 数据安全 IT认证证书】~不秃头的安全Vx:Meditation0723

https://docs.qq.com/doc/DZmtOckpOakJrcFVv?#

想加群下方二维码,群过期或群满加下方vx拉:

2. 需要入星球的可以私聊优惠

1、src、cnxd、cnnxd、POC专项漏洞知识库,包含原理、挖掘技巧、实战案例
2、fafo/零零信安 高级会员key
3、全网搜集POC在线文档,详情poc及证明截图(3000+以上文章)
4、知识星球专属微信“内部圈子交流群”
5、攻防演练资源分享(免杀、溯源、钓鱼等)
6、新鲜工具分享
7、不定期有工作招聘内推(工作/护网内推)
8、19个专栏会持续更新~提前续费有优惠,好用不贵很实惠

3、其他合作(合法合规)

1、承接红蓝攻防、渗透、安全意识培训、基线核查及加固、应急响应、重保防守、代码审计等安全项目(须授权),需要攻防团队或岗位招聘都可代发、代招(灰黑勿扰);

2、各位安全老板需要文章推广的请私聊,承接合法合规推广文章发布,可直发、可按产品编辑推广;合作、推广代发、安全项目、岗位代招均可发布;

3、接受脱敏投稿,送一年知识星球及礼包。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:不秃头的安全 CurlySean CurlySean《TongWeb 反序列化的图形化检测与利用工具》

今日小暑! 网络安全文章

今日小暑!

文章总结: 赛博研究院是上海市级民办非企业机构,致力于成为面向数字经济时代的战略科技智库、服务数据要素市场的专业咨询机构和汇聚数智安全技术的协同创新平台。它承担
今日小暑! 网络安全文章

今日小暑!

文章总结: 赛博研究院是上海市级民办非企业机构,致力于成为面向数字经济时代的战略科技智库、服务数据要素市场的专业咨询机构和汇聚数智安全技术的协同创新平台。它承担
评论:0   参与:  0