Fastjson反序列化

2021年8月27日14:33:28评论82 views字数 537阅读1分47秒阅读模式

概述：Fastjson是阿里巴巴公司开源的一款json解析器，它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 JavaBean。

Fastjson1.2.47反序列化漏洞：

1.2.24<=

1.2.47在1.2.24后加入白名单，绕过

特征识别：

出现json格式的地方就有可能

如：Content-Type字段

json格式数据

{
    "name":"smith".
    "age":28,
    "sex":"男"
}

原始报错回显，不闭合的花括号

{
    "name":"smith".
    "age":28,
    "sex":"男"

报错

1
2
3

Whitelabel

com.alibaba.fastjson.JSONException:not

利用

新建Exploit.java

FROM :https://ailumao.cn/ | Author:Ailumao

相关推荐: 沙盒逃逸之seccomp学习

前言今年的国赛pwn出了2道关于沙盒逃逸的题目，但之前只是了解并没有接触过沙盒逃逸，所以没做，国赛后的几天又去学习了沙盒逃逸，又一次知道了自己多菜。。。写下本篇记录沙盒逃逸的学习，本文仅介绍与pwn有关的沙盒逃逸。沙盒介绍为了保护系统安全，用户层的应用…

二进制安全之栈溢出（十）