- 博客(7)
- 收藏
- 关注
RSS订阅原创 漏洞复现 Fastjson 1.2.47-rce
用burp得扩展插件FastjsonScan来进行检测,将拦截得包右击鼠标发送Extensions/FastjsonScan ,如果扫描的目标存在漏洞,在窗口下面的Request窗口会展示使用的payload,如果没有漏洞,则会展示原始的请求与响应。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。构造反弹shell,进行base64编码,推荐在线工具,可以快速做bash反弹shell命令。
2024-01-05 16:27:56
915
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人