FastJson利用工具
恶意类挂载借用wyzxxz老哥的工具,我只是套个壳子
https://github.com/wyzxxz/fastjson_rce_tool
此工具未做加密,不放心的老哥可以自己看,不放源码只因代码太过丑陋
此工具尚不完善,目前仅在靶机环境中测试,欢迎各位老哥提bug
功能如下:
1.检测功能
单目标检测:
多目标检测:
2.利用功能
本地利用:
把fastjson_tool.jar放在fastjson.jar同目录下
输入本机ip及端口后,输入命令,点击监听
输入目标地址,选择版本后,点击发送(此处不会提示发送成功失败,结果需要自己查看)
远程利用:
把fastjson_tool.jar放在远程服务器(linux)的root目录下
输入账号密码后,点击测试看是否连接成功
输入命令,点击监听,等待片刻
输入目标地址,选择版本后,点击发送(此处不会提示发送成功失败,结果需要自己查看)