fastjson | CN-SEC 中文网

安全文章

Fastjson反序列化RCE漏洞

0x00 漏洞描述Fastjson 是一个 Java 库，它可以解析 JSON 格式的字符串，支持将 JavaBean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 JavaBea...

2小时前5 views评论

阅读全文

安全工具

Hyacinth java漏洞集合工具

一款java漏洞集合工具，项目地址：https://github.com/pureqh/Hyacinth 其中包含Struts2、Fastjson、Weblogic（xml）、Shiro、Log4j、...

06月30日21 views评论

阅读全文

代码审计

fastjson 1.2.80 springboot下rce利用链学习

免责声明本公众号所发布的所有内容，包括但不限于信息、工具、项目以及文章，均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息，侵权...

06月20日33 views评论

阅读全文

安全文章

狂野！利用 Fastjson注入内存马~

在下方公众号后台回复：【网络安全】，可获取给你准备的最新网安教程全家桶。前言起因是因为工位旁边的“帅比”同事写内存马的时候挠头搞环境，实在看不下去了。让他用我的靶机他就是不听。直接拿我之前写的漏洞靶场...

06月19日19 views评论

阅读全文

代码审计

fastjson<=1.2.68 漏洞分析

去年写的文章，没发出来，给公众号增加点内容，也留点笔记写在前面自2017年3月15日 fastjson 1.2.24版本被爆出反序列化漏洞以来，其就成为了安全人员中的重点研究对象，即使后来 fas...

06月15日42 views评论

阅读全文

安全文章

渗透测试 | 某系统三连shell

漏洞1：模板注入在日志查询处触发该数据包数据包中的sql语句存在>和$，疑似使用了表达式或者模板为了判断是否真的使用了表达式或者模板，使用${1+1}，回显了2，那么就可以确定了。接着我使用了o...

06月11日19 views评论

阅读全文

代码审计

fastjson1.2.24+BCEL反序列化利用

最近太忙了终于有空继续沉淀fastjson漏洞利用了，Pwn也好久没学了QAQ~前面介绍了fastjson1.2.24无第三方依赖的TemplatesImpl、JdbcRowSetImpl链如果增加了...

06月07日13 views评论

阅读全文

安全文章

记某众测Fastjson<=1.2.68反序列化RCE过程

免责声明：由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢...

06月06日19 views评论

阅读全文

代码审计

fastjson 1.2.80的一些小链

一、jdbc链fastjson1.2.68存在mysql和pgsql的jdbc链应该没人不知道了吧。mysql链来自https://i.blackhat.com/USA21/Wednesday-Han...

06月05日31 views评论

阅读全文

漏洞挖掘的几种思维

No.0推荐语本地知识库里，看到的一位大佬的分享，内容很优秀，认真通读一遍，深切的体会到了自己与大佬之间的差距，其中避免原子性思维真的让我茅塞洞开，分享给喜欢挖洞的同学。，我是前言漏洞挖掘-思想建设最...

05月30日安全文章13 views评论

阅读全文

安全文章

从 SSRF 到 RCE：一次众测Fastjson<=1.2.68反序列化RCE过程|挖洞技巧

0x01 前言在某次众测过程中使用搜索引擎找到某单位部署的旁站，通过前端JS信息分析找到一处ssrf漏洞。在ssrf测试时根据提示信息得到服务端接收的数据格式为json格式，再通过构造json报错语句...

05月26日31 views评论

阅读全文

代码审计

Java件组分析 - Fastjson1.2.(22-24)反序列化分析

2.2FastJson1.2.22-1.2.24 反序列化分析1.漏洞原理FastJson 反序列化是因为未对@type字段进行有效的校验导致可以传入恶意的类且反序列化的时候会自动调用setter和无...

05月19日31 views评论

阅读全文

Fastjson反序列化RCE漏洞

Hyacinth java漏洞集合工具

fastjson 1.2.80 springboot下rce利用链学习

狂野！利用 Fastjson注入内存马~

fastjson<=1.2.68 漏洞分析

渗透测试 | 某系统三连shell

fastjson1.2.24+BCEL反序列化利用

记某众测Fastjson<=1.2.68反序列化RCE过程

fastjson 1.2.80的一些小链

漏洞挖掘的几种思维

从 SSRF 到 RCE：一次众测Fastjson<=1.2.68反序列化RCE过程|挖洞技巧

Java件组分析 - Fastjson1.2.(22-24)反序列化分析

在线咨询

微信