[渗透测试笔记] 48.Fastjson1.2.24反序列化漏洞复现(CVE-2017-18349)

漏洞描述 影响范围 漏洞复现

FastJson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。

fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，并调用该类的set/get方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链。

在Java 8u102环境下，没有com.sun.jndi.rmi.object.trustURLCodebase的限制，可以使用com.sun.rowset.JdbcRowSetImpl的利用链，借助JNDI(Java Naming and Directory Interface,Java命名和目录接口)注入来执行命令

fastjson<=1.2.24

开启环境，并测试是否开启成功

vulhub/fastjson/1.2.24-rce
sudo docker