漏洞关键信息 漏洞描述 漏洞类型: Fastjson 1.2.47 反序列化远程命令执行 (RCE) 受影响版本: Fastjson 1.2.47 和以下版本。 漏洞原因: Fastjson 在 1.2.48 之前版本的反序列化白名单机制存在缺陷,可被攻击者绕过并执行任意命令。 环境搭建 使用 Docker Compose 启动 Spring 项目,使用 Fastjson 1.2.45。 访问 以查看返回的 JSON 对象。 漏洞复现 目标环境: openjdk:8u102。因缺少 限制,可利用 RMI 执行命令。 步骤: 1. 编译并上传命令执行代码,如 。 2. 使用 Marshalsec 项目启动 RMI 服务器。 3. 发送恶意 Payload 至目标服务器。 影响及实际验证 成功执行了 命令,验证了 RCE 漏洞的利用效果。 更多利用方法可参考 JNDI 注入相关内容。