banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。
ホームアーカイブ图文

基于dbcpのfastjson rceエコーバック再現

#渗透测试163
AI 翻訳
この記事はAIを通じて英語から日本語に翻訳されました。原文を表示
AI が生成した要約
项目地址:GitHub - depycode/fastjson-local-echo,先进行环境的编译和设置,然后生成jar文件并运行,浏览器访问,适用于fastjson <= 1.2.24和1.2.33 <= 1.2.47,jdk <= 8u251,存在tomcat-dbcp。复现步骤包括编译SpringEcho.java生成SpringEcho.class文件,用BCELEncode对class文件进行编码。 driverClassName内容通过BCELEncode进行编码。

先に環境のコンパイルを行います。プロジェクトのアドレス:GitHub - depycode/fastjson-local-echo: 基于 dbcp 的 fastjson rce 回显

idea コンパイル & 環境設定#

maven と setting.xml を設定します。

image-20230329151853299

JDK を 1.8 に設定します。

image-20230329151908401

package を実行し、jar ファイルを生成します。

image-20230329152319368

image-20230329151933841

jar ファイルを実行し、環境を起動します。

java -jar demo-0.0.1-SNAPSHOT.jar

image-20230329151948017

ブラウザでアクセスします。

image-20230329152028904

適用シナリオ#

  • fastjson <= 1.2.24
  • 1.2.33 <= fastjson <= 1.2.47
  • jdk <= 8u251
  • tomcat-dbcp が存在する

再現方法#

ファイル名説明
SpringEcho.javaspring 回显代码
BCELEncode.javaclass ファイルを bcel エンコードする

まず、SpringEcho.java をコンパイルして SpringEcho.class ファイルを生成し、次に BCELEncode を使用して class ファイルを bcel エンコードします。

  • fastjson <= 1.2.24 poc

    • GitHub プロジェクトを参照

  • 1.2.33 <= fastjson <= 1.2.47 poc

    • GitHub プロジェクトを参照

image-20230329152045628

image-20230329152104074

上記の driverClassName の内容は BCELEncode を使用してエンコードされます。

image-20230329152124284

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。