- ALL
- java32
- linux32
- 工具17
- 其他14
- 数据库6
- vue5
- nas5
- 前端5
- git4
- framework3
- windows3
- ai2
- app2
- docker2
- 脚本2
- 智能家居2
- hexo2
- maven2
- 小程序2
- spring2
- api1
- 资源1
- mysql1
- 安全1
- markdown1
- question1
- 数据传输1
- 数据结构1
- python1
- nginx1
记录一次fastjson序列化漏洞的攻击的完整复现
前言
开发过程中经常会引用各种第三方jar包,但是第三方jar包常常包含漏洞,很多黑客是可以通过这些漏洞免验证入侵服务器的。该文目的是为了引导各位同行的重视和研究,避免自己错误的引入包含漏洞的jar包,避免被黑客入侵服务器,泄露重要数据,使公司财产遭受损失。
1.下载抓包工具
https://portswigger.net/burp/releases/download?product=pro&version=2021.5.1&type=WindowsX64
2.工具破解(注册机+破解包)
使用阿里云盘下载 https://www.alipan.com/s/87Lnm1SwNRd
使用方法
双机打开burp-loader-keygen.jar注册机
==在放置目录下执行==
java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v1.7.37.jar
使用Manual activation激活方式
3.环境准备
为了验证服务确实执行了远程指令使用网站 http://www.dnslog.cn ...