fastjson 80远程代码执行漏洞复现

Written by with ♥ on March 29, 2023 in

项目地址

GitHub - Lonely-night/fastjsonVul at 7f9d2d8ea1c27ae1f9c06076849ae76c25b6aff7

利用条件

fastjson版本： 1.2.76 <= fastjson < 1.2.83
存在groovy依赖

复现步骤

1、编译attack模块为attack-1.jar包

2、在attack-1.jar包所在的目录下执行启用http服务。

python -m SimpleHTTPServer 8433

3、运行poc

利用idea重新打开项目，项目路径：

jdk版本切换成1.8

打开poc.java文件，这个文件是漏洞验证的payload。

右键运行

成功运行payload

Author: Olist.213

Link: https://olist213.github.io/posts/fastjson_80_rce/

Tag(s): #web安全

back · home