网络安全利用Fastjson注入Sp

此篇文章在于记录自己对spring内存马的实验研究

搭建漏洞环境，利用fastjson反序列化，通过JNDI下载恶意的class文件，触发恶意类的构造函数中代码，注入controller内存马。

1）组件版本：

fastjson:1.2.24

spring-mvc:4.3.28.RELEASE

JDK:8u

2）搭建springMVC+fastjson漏洞环境

可以参考网上的入门文章进行搭建，这里我放出我自己环境的配置文件

web.xml

servletservlet-nameSpringMVC/servlet-nameservlet-classorg.springframework.web.servlet.DispatcherServlet/servlet-class!--配置springmvc.xml的路径--init-paramparam-namecontextConfigLocation/param-nameparam-valueclasspath:springmvc.xml/param-value/init-param/servletservlet-mappingservlet-nameSpringMVC/servlet-nameurl-pattern//url-pattern/servlet-mapping/web-app

springmvc.xml

!--将AnnotationHandler自动扫描到IOC容器中--context:

转载请注明：http://www.vviuov.com/jbsl/1063767.html