└── README.md /README.md: -------------------------------------------------------------------------------- 1 | # Finev10Memshell 2 | 针对finereportv10反序列化接口/webroot/decision/remote/design/channel进行无回显检测并提供Godzilla memshell注入功能(部分环境缺少依赖无法成功)。 3 | 4 | 因为添加了两个FineReport原生的jar包文件,因此打包后的工具体积较大,经历、水平有限暂不知道怎么解决,如有建议尽管提。 5 | 6 | 对工具不放心使用的可自行反编译检查。 7 | 8 | ## 使用方式 9 | 10 | 无回显命令执行: 11 | 12 | ``` 13 | java -jar FineV10Memshell.jar -u url -c 'command' 14 | ``` 15 | image 16 | Godzilla memshell注入: 17 | 18 | ``` 19 | java -jar FineV10Memshell.jar -u url -m 20 | ``` 21 | 22 | image 23 | image 24 | 25 | ## 影响 26 | 27 | 2022-08-12 之前的 FineReport10.0/11.0、FineBI5.1 系列均受影響,非2023利用方式。 28 | 29 | ## 参考 30 | 31 | https://github.com/Avento/FineReport_channel_Deserialization_Vulnerabilities_RCE 32 | --------------------------------------------------------------------------------