免责声明
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把夜组安全“设为星标”,否则可能就看不到了啦!
工具介绍
FastJson全版本Docker漏洞环境(涵盖1.2.47/1.2.68/1.2.80等版本),主要包括JNDI注入及高版本绕过、waf绕过、文件读写、原生反序列化、利用链探测绕过、不出网利用等。
设定场景为黑盒利用,从黑盒的角度覆盖FastJson深入利用全过程,部分环境需要给到jar包反编译分析。
Docker环境,开箱即用。
环境启动:docker compose up -d
若docker拉取环境缓慢,请尝试使用国内镜像
https://www.runoob.com/docker/docker-mirror-acceleration.html
环境启动后,访问对应ip的80端口:
总结了一些关于FastJson全版本常用漏洞利用Poc,可搭配食用:Fastjson全版本检测及利用-Poc
环境使用后请销毁,否则可能会冲突:docker compose down
整理一下靶场顺序:(根据利用特点分成三个大类)
靶场
工具下载
点击关注下方名片进入公众号
回复关键字【241011】获取下载链接
往期精彩
不错!一个Thinkphp的GUI漏洞检测利用工具
新一代Webshell管理器,兼容蚁剑与冰蝎的PHP webshell
好用!FTP,SSH,MYSQL,MSSQL等弱口令爆破工具!
