fastjson 80远程代码执行漏洞复现

2023年4月17日316

AI 生成的摘要

这篇文章介绍了fastjson的漏洞利用流程，但没有涉及漏洞的原理。作者发现网上对原理的讲解较少，可能因为这是一个基础的漏洞，所以没有人写过。文章提供了fastjson漏洞利用的项目地址和利用条件，同时附上了图片来源的链接。

熟悉了下 fastjson 的漏洞利用流程，fastjson 的漏洞原理这里未涉及，虽然发现网上讲原理的比较的，但是像这种基础的可能太简单了，没人写，自己也是摸索半天。

项目地址#

1、编译 attack 模块为 attack-1.jar 包

2、在 attack-1.jar 包所在的目录下执行启用 http 服务。

python -m SimpleHTTPServer 8433

3、运行 poc

利用 idea 重新打开项目，项目路径：

jdk 版本切换成 1.8

打开 poc.java 文件，这个文件是漏洞验证的 payload。

右键运行

成功运行 payload

文章粗糙，大家见谅。