一 、漏洞描述
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
受影响版本
fastjson <= 1.2.24
实验所需:
目标机:192.168.1.10
攻击机:192.168.1.3
二、 环境搭建docker-compose,vulhub(在目标机192.168.1.10)
一 、漏洞描述
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
受影响版本
fastjson <= 1.2.24
实验所需:
目标机:192.168.1.10
攻击机:192.168.1.3
二、 环境搭建docker-compose,vulhub(在目标机192.168.1.10)