有的時候，我們在滲透測試發現fastjson資產情況下，找不到利用工具，這里推薦一款圖形化的工具

1.下載地址

https://github.com/nex121/FastjsonEXP

2.利用工具實現Fastjson 1.2.47 遠程命令執行漏洞

靶場：Vulhub靶場，docker啟動。

vulhub/fastjson/1.2.47-rce docker-compose up -d

1.檢測漏洞是否存在

這里我們在輸入目標地址的時候，要輸入http,否則可能不能解析。

如果存在fastjson漏洞的話，會彈出存在漏洞的彈框。

2.漏洞利用

在下載連接里有兩個連接地址，第一個是工具，第二個是利用腳本。我們將這兩個放在同一目錄下。

然后，按照下面步驟

在第三步監聽后，會創建監聽

然后，執行第四步和第五步之后，點擊發送，會執行命令。

我們去容器中查看命令是否執行成功，可以看到已經創建成功了。

這里還有遠程的使用方法，只要把fastjson_tool.jar放在遠程服務器（linux）的root目錄下

輸入賬號密碼后，點擊測試看是否連接成功。成功后，直接在下面輸入攻擊地址，再輸入版本號，點擊發送即可。

總結

以上是生活随笔為你收集整理的FastJson漏洞工具的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。