fastJson全版本Docker漏洞环境
fastJson全版本Docker漏洞环境(涵盖1.2.47/1.2.68/1.2.80等版本),主要包括JNDI注入、waf绕过、文件读写、反序列化、利用链探测绕过、不出网利用等。设定场景为黑盒测试,从黑盒的角度覆盖FastJson深入利用全过程,部分环境需要给到jar包反编译分析。
Docker环境
docker compose up -d
若docker拉取环境缓慢,请尝试使用国内镜像
https://www.runoob.com/docker/docker-mirror-acceleration.html
环境启动后,访问对应ip的80端口:
总结了一些关于FastJson全版本常用漏洞利用Poc,可搭配食用:Fastjson全版本检测及利用-Poc
环境使用后请销毁,否则可能会冲突:docker compose down
整理一下靶场顺序:(根据利用特点分成三个大类)
FastJson 1.2.47
FastJson 1.2.68
1268写文件利用另外写了一篇,可搭配使用:FastJson1268写文件RCE探究
FastJson 1.2.80
每个机器根目录下都藏有flag文件,去尝试获取吧!
部分环境wp目前还未给出,打算过段时间放出,也欢迎提交你的wp和建议
DOCK环境:https://github.com/lemono0/FastJsonParty
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· 阿里巴巴 QwQ-32B真的超越了 DeepSeek R-1吗?
· 【译】Visual Studio 中新的强大生产力特性
· 10年+ .NET Coder 心语 ── 封装的思维:从隐藏、稳定开始理解其本质意义
· 【设计模式】告别冗长if-else语句:使用策略模式优化代码结构