mac3d0/jexboss

GitHub: mac3d0/jexboss

JexBoss 的增强分支,新增 Shodan 驱动的批量扫描模式,用于 JBoss 和 Java 反序列化漏洞的验证与利用。

Stars: 0 | Forks: 0

# JexBoss 增强版分支 一款 JBoss 和 Java 反序列化验证与利用工具,扩展了基于 Shodan 驱动的批量扫描工作流,并针对大型项目添加了一些易用性改进。 由 Rafael Macedo 维护。联系方式:rafael.macedo@brechasec.com.br 以及 https://brechasec.com.br/ ## 我在此分支中添加的内容 主要新增功能是新的 `shodan-scan` 模式。它通过 `shodan_search()` 直接从 Shodan API 获取候选目标,支持 `-shodan-query`、`-shodan-apikey`、`-shodan-limit` 和 `-shodan-results` 等标志。它通过现有的 HTTP 连接池与 API 通信,因此没有额外的 pip 依赖。 在执行任何 Shodan 批量扫描之前,都会设置一个交互式授权关卡。操作员必须确认他们已获得授权来测试收集到的目标。这是一项内置在工作流中的范围和道德审查。 我还通过 `gl_quiet` 添加了批量静默模式,该模式会在大规模扫描期间屏蔽针对单个主机的冗余信息,从而使输出保持清晰易读;此外还添加了通过 `print_progress_bar` 实现的实时进度条,这是一个在 Shodan 和文件扫描循环中共享的单行指示器。 完整列表请参见 CHANGELOG.md。 示例: ``` python jexboss.py -mode shodan-scan \ -shodan-query 'product:JBoss' \ -shodan-apikey YOUR_KEY \ -shodan-results report_shodan_scan.log ``` ## 法律与道德使用声明 本工具仅供学习和授权的安全测试使用。请仅将其用于您自己拥有的系统,或在已签署的授权范围内、拥有明确书面授权进行测试的系统上。未经许可扫描或利用第三方系统是非法的,并可能承担刑事和民事责任。 请勿提交真实的目标列表、扫描结果或日志。内置的 .gitignore 会将日志文件、主机列表和结果文件排除在版本控制之外。 ## 环境要求 Python 2.7 或更高版本,以及 urllib3 和 ipaddress。 ## 安装 ``` git clone https://github.com/mac3d0/jexboss.git cd jexboss pip install -r requires.txt python jexboss.py -h ``` ## 使用说明 ``` # 单台主机 python jexboss.py -host http://target_host:8080 # 从 Shodan 查询进行批量扫描,在此 fork 中添加 python jexboss.py -mode shodan-scan -shodan-query 'product:JBoss' -shodan-apikey YOUR_KEY # 所有模式和选项 python jexboss.py -h ``` ## 许可证 根据 Apache License, Version 2.0 获得许可。请参阅 LICENSE 文件。 ## 致谢 本项目基于由 João Filho Matos Figueiredo 最初创建的 JexBoss 构建。上游项目位于 https://github.com/joaomatosf/jexboss,CSV 助手由 Sean Whalen 提供。按照许可证的要求,所有上游的版权和归属声明均保留在 NOTICE 文件中。此分支中的增强功能由 Rafael Macedo 于 2026 年完成。
标签:Java反序列化, JBoss, Python, XXE攻击, 无后门, 逆向工具