Fastjson v1.2.24远程命令执行漏洞复现
目录概述漏洞环境漏洞复现编写恶意类编译并开启RMI服务概述fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。漏洞环境靶场选择使用vulhub搭建,网址:https://github.com/vulhub/vulhub下载vulhub,找到fastjson/1.2.24-rce目录,使用docker-compose up -d启动环境。docker ps -a 查看