Name		Name	Last commit message	Last commit date
Latest commit History 4 Commits
src		src
.gitignore		.gitignore
README.md		README.md
mvnw		mvnw
mvnw.cmd		mvnw.cmd
pom.xml		pom.xml

Repository files navigation

Alibaba Fastjson 远程代码执行漏洞 JNDI POC

调试步骤：

将Exploit.java编译后的class文件放入resources\static目录
运行FastjsonJndiPocApplication、启动web环境，暴露http://127.0.0.1/Exploit.class
运行JNDIServer
运行SomeFastjsonApp， Exploit.java构造函数中的恶意代码将执行

前3步由攻击者在远程搭建、第4步为Fastjson正常使用流程，恶意代码将会在受害者本地执行。

影响：fastjson在1.2.24以及之前版本

官方通告：https://github.com/alibaba/fastjson/wiki/security_update_20170315

相关资料

基于JdbcRowSetImpl的Fastjson RCE PoC构造与分析 (影响版本1.2.24以及之前版本)

fastjson 远程反序列化poc的构造和分析 (影响版本1.2.22-1.2.24)

Fastjson Unserialize Vulnerability Write Up

fastjson 漏洞调试利用记录

About

fastjson远程命令执行漏洞，jndi方式

Report repository

Releases

No releases published

Packages

No packages published

Languages

Java 100.0%