Fastjson反序列化

  • A+
所属分类:安全博客

概述:Fastjson是阿里巴巴公司开源的一款json解析器,它可以解析 JSON 格式的字符串, 支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。

Fastjson1.2.47反序列化漏洞:

1.2.24<=

1.2.47在1.2.24后加入白名单,绕过

特征识别:

出现json格式的地方就有可能

如:Content-Type字段

json格式数据

1
2
3
4
5
{
"name":"smith".
"age":28,
"sex":"男"
}

原始报错回显,不闭合的花括号

1
2
3
4
5
{
"name":"smith".
"age":28,
"sex":"男"

报错

1
2
3
Whitelabel

com.alibaba.fastjson.JSONException:not

利用

新建Exploit.java

FROM :https://ailumao.cn/ | Author:Ailumao

相关推荐: 沙盒逃逸之seccomp学习

前言 今年的国赛pwn出了2道关于沙盒逃逸的题目,但之前只是了解并没有接触过沙盒逃逸,所以没做,国赛后的几天又去学习了沙盒逃逸,又一次知道了自己多菜。。。写下本篇记录沙盒逃逸的学习,本文仅介绍与pwn有关的沙盒逃逸。 沙盒 介绍 为了保护系统安全,用户层的应用…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: