FastjsonScan

A tool to fast detect fastjson‘s deserialize vuln

0x00 FastjsonScan now is public 🎉🎉🎉

WHAT?

FastjsonExpFramework一共分为探测、利用、混淆、bypass JDK等多个模块，而FastjsonScan 是其中一部分，通过报错、请求、依赖库等探测实现多方面定位fastjson版本

WHY?

现有的fastjson扫描器无法满足迭代速度如此快的fastjson版本，大部分扫描器早已无人维护，已不适配高版本。我将持续优化此系列项目。

HOW?

目前fastjsonScan支持
☑️支持批量接口探测
☑️1.2.83及以下的区间探测(主要分为48,68,80三大安全版本)
☑️支持报错回显探测
☑️DNS出网检测
☑️支持AutoType状态检测
☑️依赖库检测
☑️延迟检测

TODO

适配内网环境下的探测
适配webpack做自动化扫描
完善DNS回显探测依赖库的探测
完善在61版本以上并且不出网的检测方式
完善其他不同json解析库的探测 完善相关依赖库检测

下载地址 建议虚拟机内使用

https://github.com/a1phaboy/FastjsonScan/releases/tag/v1.1

原文始发于微信公众号（阿乐你好）：FastjsonScan