V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
shengqi158
V2EX  ›  问与答

fastjson 远程代码执行 爆 poc 了

  •  
  •   shengqi158 · 2017-05-24 23:38:51 +08:00 · 4117 次点击
    这是一个创建于 2747 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在 V2EX 上以前有 fastjson 爆出远程代码执行的漏洞的简单描述

    2017 年 3 月 15 日,Fastjson 官方发布安全公告,该公告介绍 fastjson 在 1.2.24 以及之前版本存在代码执行漏洞代码执行漏洞,恶意攻击者可利用此漏洞进行远程代码执行,从而进一步入侵服务器,目前官方已经发布了最新版本,最新版本已经成功修复该漏洞。 具体漏洞详情如下: https://www.v2ex.com/t/348227#reply20

    现在 poc 已经公布了

    微博上有详情: http://weibo.com/1900013681/profile?topnav=1&wvr=6&is_all=1&is_search=1&key_word=fastjson%20%E8%BF%9C%E7%A8%8B%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96poc%E7%9A%84%E6%9E%84%E9%80%A0%E5%92%8C%E5%88%86%E6%9E%90%20%E5%9C%A81.7#_0

    6 条回复    2017-05-25 09:57:45 +08:00
    anoymoux
        1
    anoymoux  
       2017-05-24 23:50:20 +08:00
    村通网?
    shengqi158
        2
    shengqi158  
    OP
       2017-05-24 23:52:08 +08:00
    @anoymoux 啥?
    slixurd
        3
    slixurd  
       2017-05-25 00:38:05 +08:00
    @anoymoux
    肯定没看微博内容....
    虽然这个漏洞早就爆出来了
    但是一直没有人给出如何利用漏洞的 POC
    virusdefender
        4
    virusdefender  
       2017-05-25 01:24:29 +08:00
    虽然没有公开的,但是私下的 poc 得有一个月了吧。。
    shengqi158
        5
    shengqi158  
    OP
       2017-05-25 09:56:47 +08:00
    @virusdefender 我当时公开这个 poc 的时候就是 5 月初
    shengqi158
        6
    shengqi158  
    OP
       2017-05-25 09:57:45 +08:00
    @slixurd 不看帖发帖的人还挺多,哈哈
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2593 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 06:18 · PVG 14:18 · LAX 22:18 · JFK 01:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.