Fastjson RCE续(自动化)
一、漏洞介绍
二、漏洞危害
三、漏洞验证
环境搭建:
实验环境 | 系统 | IP地址 |
---|---|---|
攻击机 | win10 | 199.200.234.44 |
靶机 | Centos7 | 192.168.134.133 |
docker pull vulhub/fastjson #拉取镜像
docker run -d -p 8080:8080 -p 8443:8443 initidc/fastjson1.2.47_rce #连接容器
验证一下环境是否正常:
漏洞检测:
这里推荐两款BurpSuite插件:
https://mp.weixin.qq.com/s/5jNTjRwTZOzWJh0Hdu7jEw
https://github.com/uknowsec/BurpSuite-Extender-fastjson
安装插件后会自动检测经过BurpSuite的流量,若存在漏洞自动标注该流量: