zrquan

「 DC 」是 vulnhub 上的系列靶机，因为参加的某个培训课程用 DC1-3 这三个环境作为练习题目，所以在此记录一下复现的过程

主要是 Web，也会练一下 Misc

Hessian 是一个二进制 Web 协议的实现，由 caucho 公司主导开发，其目的是实现一个轻量级、跨语言、自描述（不依赖外部定义）的二进制通信协议

• Status: Experimental in 1.6.20-M1
• Discussion: KEEP-259

本文主要介绍一下 JEP 290 这个特性，分析它是如何保护 RMI 免受反序列化攻击的，以及有哪些方法可以绕过 JEP 290 对 RMI 进行反序列化攻击。

Fastjson 是 alibaba 的一款开源 JSON 解析库，可以将 Java 对象和 JSON 字符串相互转化，并提供了 autotype 机制让使用者可以解析任意 Java 对象，导致一些存在利用点的类被用来进行反序列化攻击。

编号：CNVD-2020-10487/CVE-2020-1938

描述：由于 Tomact AJP 协议的设计缺陷，攻击者可以通过漏洞读取 webapp 目录下的任意文件，或者通过文件包含 getshell。

影响版本：Tomcat 9/8/7/6