FastJsonParty
https://github.com/lemono0/FastJsonParty
FastJson全版本Docker漏洞环境(涵盖1.2.47/1.2.68/1.2.80等版本),主要包括JNDI注入、waf绕过、文件读写、原生反序列化、利用链探测绕过、不出网利用等。设定场景为黑盒利用,从黑盒的角度覆盖FastJson深入利用全过程,部分环境需要给到jar包反编译分析。
Docker环境,开箱即用。
环境启动:docker compose up -d
若docker拉取环境缓慢,请尝试使用国内镜像
推荐查看:https://mp.weixin.qq.com/s/5ENnnE0XQoT6AhqjjO-N2g
备注:配置完镜像源后,下面两个命令不能省略,缺一不可。不然可能会遇到配置了,速度还是很慢的情况
sudo systemctl daemon-reloadsudo systemctl restart docker
虚拟机环境使用kali即可。
项目中包括:
FastJson特定版本的Poc利用
https://github.com/lemono0/FastJsonParty/blob/main/Fastjson%E5%85%A8%E7%89%88%E6%9C%AC%E6%A3%80%E6%B5%8B%E5%8F%8A%E5%88%A9%E7%94%A8-Poc.md
大部分docker靶场都有wp
帮助复现,学习fastjson各种版本的漏洞利用。
参考链接:
https://mp.weixin.qq.com/s/5ENnnE0XQoT6AhqjjO-N2g
原文始发于微信公众号(进击的HACK):精品项目 | FastJson靶场与WP
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论