Skip to content
fastjson远程命令执行漏洞,jndi方式
Shell Batchfile Java
Branch: master
Clone or download
Latest commit 8188803 Dec 7, 2017
Permalink
Type Name Latest commit message Commit time
Failed to load latest commit information.
src 系统变量说明 Dec 7, 2017
.gitignore gitignore Dec 7, 2017
README.md
mvnw
mvnw.cmd init Dec 7, 2017
pom.xml init Dec 7, 2017

README.md

Alibaba Fastjson 远程代码执行漏洞 JNDI POC

调试步骤:

  1. Exploit.java编译后的class文件放入resources\static目录
  2. 运行FastjsonJndiPocApplication、启动web环境,暴露http://127.0.0.1/Exploit.class
  3. 运行JNDIServer
  4. 运行SomeFastjsonAppExploit.java构造函数中的恶意代码将执行

前3步由攻击者在远程搭建、第4步为Fastjson正常使用流程,恶意代码将会在受害者本地执行。

影响:fastjson在1.2.24以及之前版本

官方通告:https://github.com/alibaba/fastjson/wiki/security_update_20170315

相关资料

基于JdbcRowSetImpl的Fastjson RCE PoC构造与分析 (影响版本1.2.24以及之前版本)

fastjson 远程反序列化poc的构造和分析 (影响版本1.2.22-1.2.24)

Fastjson Unserialize Vulnerability Write Up

fastjson 漏洞调试利用记录

You can’t perform that action at this time.