README.md

Alibaba Fastjson 远程代码执行漏洞 JNDI POC

调试步骤：

1. 将Exploit.java编译后的class文件放入resources\static目录
2. 运行FastjsonJndiPocApplication、启动web环境，暴露http://127.0.0.1/Exploit.class
3. 运行JNDIServer
4. 运行SomeFastjsonApp， Exploit.java构造函数中的恶意代码将执行

前3步由攻击者在远程搭建、第4步为Fastjson正常使用流程，恶意代码将会在受害者本地执行。

影响：fastjson在1.2.24以及之前版本

官方通告：https://github.com/alibaba/fastjson/wiki/security_update_20170315

相关资料

基于JdbcRowSetImpl的Fastjson RCE PoC构造与分析 (影响版本1.2.24以及之前版本)

fastjson 远程反序列化poc的构造和分析 (影响版本1.2.22-1.2.24)

Fastjson Unserialize Vulnerability Write Up

fastjson 漏洞调试利用记录