Java反序列化漏洞Gadget Chain可视化图谱工具
嗯,用户让我总结一下这篇文章的内容,控制在100字以内,而且不需要用“文章内容总结”之类的开头。首先,我得仔细阅读文章,找出主要信息。 文章主要介绍了一个叫做Gadget_Chain的工具,它是一个交互式的Java反序列化漏洞可视化工具。看起来这个工具帮助安全研究人员理解从入口到执行点的调用链。核心功能包括图谱展示、双链对比、代码高亮、步进播放和导航图。支持的Gadget Chain有34个左右,技术栈用了Vue 3、TypeScript等。 接下来,我需要把这些信息浓缩到100字以内。要突出工具的功能和用途,以及它支持的Gadget Chain数量和技术栈。同时,语言要简洁明了。 可能的结构是:工具名称、用途、核心功能、支持的数量、技术栈。这样就能在有限的字数内传达关键信息了。 </think> Gadget_Chain 是一个交互式 Java 反序列化漏洞 Gadget Chain 可视化工具,帮助研究人员理解调用链。支持单链模式和双链对比模式,提供代码高亮、步进播放等功能。内置 34+ 个 Gadget Chain 数据,基于 Vue 3 和 TypeScript 开发。 2026-2-25 01:40:31 Author: www.freebuf.com(查看原文) 阅读量:2 收藏

freeBuf

主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规

Gadget_Chain

Java反序列化漏洞Gadget Chain可视化图谱工具

项目介绍

Gadget_Chain是一个交互式的Java反序列化漏洞Gadget Chain可视化工具,帮助安全研究人员直观理解从Source(入口)到Gadget(跳板)再到Sink(执行点)的完整调用链。

在线演示地址:https://gb233.github.io/Gadget_Chain
开源仓库地址:https://github.com/gb233/Gadget_Chain

核心功能

  • 交互式图谱展示:使用Vue Flow实现节点拖拽、缩放、点击查看详情

  • 双链对比模式:对比两条Gadget Chain的差异,Y型布局展示共用节点和独有节点

  • 代码高亮对比:使用Shiki实现Java代码语法高亮,支持差异行高亮

  • 步进播放:自动播放展示调用链执行过程

  • MiniMap导航:左下角缩略图快速定位

功能演示截图

  • 交互式图谱展示
    image.png

  • 双链对比模式
    image.png

  • 步进播放
    image.png

支持的Gadget Chain

说明: 本工具支持的Gadget Chain列表参考自 ysoserial项目收集的Payload清单。以下列表中的Gadget Chain名称与ysoserial项目中的Payload名称一一对应,方便安全研究人员对照使用。

Commons Collections (7个)

  • CommonsCollections1

  • CommonsCollections2

  • CommonsCollections3

  • CommonsCollections4

  • CommonsCollections5

  • CommonsCollections6

  • CommonsCollections7

Spring Framework (2个)

  • Spring1

  • Spring2

Hibernate (2个)

  • Hibernate1

  • Hibernate2

JBoss (3个)

  • JBossInterceptors1

  • JavassistWeld1

Mozilla Rhino (2个)

  • MozillaRhino1

  • MozillaRhino2

MyFaces (2个)

  • MyFaces1

  • MyFaces2

其他 (17个)

  • URLDNS

  • AspectJWeaver

  • BeanShell1

  • C3P0

  • Click1

  • Clojure

  • CommonsBeanutils1

  • FileUpload1

  • Groovy1

  • JSON1

  • JRMPClient

  • JRMPListener

  • Jython1

  • Rome

  • Vaadin1

  • Wicket1

JDK内置 (1个)

  • Jdk7u21

总计: 34+ 个Gadget Chain

技术栈

  • 前端框架: Vue 3 + TypeScript

  • 构建工具: Vite

  • 图谱引擎: Vue Flow 1.x

  • 代码高亮: Shiki

  • 样式: Tailwind CSS

  • 布局: Dagre.js

快速开始

安装依赖

npm install

开发模式

npm run dev

构建

npm run build

预览生产构建

npm run preview

使用说明

单链模式

  1. 从顶部下拉框选择Payload

  2. 点击节点查看代码详情

  3. 使用步进播放器自动播放调用链

对比模式

  1. 点击右上角"对比模式"按钮

  2. 选择Chain A和Chain B

  3. 查看Y型布局展示的共用节点和独有节点

  4. 点击节点进行代码对比

项目结构

gadget-chain-visualizer/
├── src/
│   ├── components/        # Vue组件
│   │   ├── GadgetGraph.vue       # 图谱主组件
│   │   ├── CompareView.vue       # 对比模式组件
│   │   ├── GadgetNode.vue        # 节点组件
│   │   ├── CodePanel.vue         # 代码面板
│   │   └── PayloadSelector.vue   # Payload选择器
│   ├── data/             # Gadget数据
│   │   ├── gadgets/      # 各Chain定义
│   │   └── types.ts      # 类型定义
│   ├── App.vue           # 根组件
│   └── main.ts           # 入口
├── docs/                 # 文档
├── README.md
├── LICENSE
└── .gitignore

贡献指南

欢迎提交Issue和Pull Request!

许可证

MIT License

致谢

本工具支持的Gadget Chain名称列表参考自 ysoserial项目收集的Payload清单。感谢frohoff和所有ysoserial贡献者为Java反序列化安全研究做出的贡献。

注意: 本工具仅供安全研究和教育目的使用,请勿用于非法用途。

已在FreeBuf发表 0 篇文章

本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)


文章来源: https://www.freebuf.com/articles/vuls/471451.html
如有侵权请联系:admin#unsafe.sh