fastjson - 第 22 | CN-SEC 中文网

代码审计

【干货分享】FastJson三条调用链分析

戟星安全实验室忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等本文约2910字...

01月30日66 views评论

阅读全文

安全工具

Fastjson漏洞批检测工具 JsonExp

===================================免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负...

01月30日58 views评论

阅读全文

安全工程师面经

某青红队面试-校招某奇红队-校招某安玄某实验室某恒实验室京东腾讯某星渗透测试实习某奇红队某青红队面试-校招1面1、说说数据库提权2、redis的计划任务3、数据库提权，执行命令的时候遇到杀软咋办。4、...

01月19日安全职场120 views评论

阅读全文

安全文章

CVE-2022-39198 Apache Dubbo Hession Deserialization分析

出品|先知社区(ID:LeeH）声明以下内容，来自先知社区的LeeH作者原创，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，长白山攻防实验室以及文章作者不承担任...

01月03日47 views评论

阅读全文

安全博客

fastjson：我一路向北，离开有你的季节

前言继续水一篇漏洞文。一、简介 fastjson 是阿里巴巴的开源 JSON 解析库，它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON...

01月01日26 views评论

阅读全文

安全博客

Fastjson 68 commons-io AutoCloseable

前言今天长亭公众号发了一个 fastjson commons-io AutoCloseable 的利用，正好我最近也在分析这个，看了一下，有相同的地方也有不同地方，那我也发出来一起学习交流吧。我这...

01月01日12 views评论

阅读全文

安全文章

fastjson 1.2.47 RCE漏洞保姆级复现

1.漏洞概述Fastjson提供了autotype功能，允许用户在反序列化数据中通过“@type”指定反序列化的类型，Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分get...

12月28日20 views评论

阅读全文

安全文章

浅析FastJson不出网利用方式

本文转载至奇安信攻防社区:https://forum.butian.net/share/2040实战中，有些环境是不出网的，就无法利用JNDI攻击，这里介绍下FastJson本地的利用方式。0x01 ...

12月24日118 views评论

阅读全文

安全文章

漏洞复现-fastjson 1.2.24-rce

免责声明本公众号所发布的文章及工具只限交流学习，本公众号不承担任何责任！如有侵权，请告知我们立即删除。漏洞概述fastjson 1.2.24 反序列化导致任意命令执行漏洞，漏洞影响范围：fastjso...

12月13日115 views评论

阅读全文

渗透测试面经备忘录

1.shiro找不到key，有什么思路?答:试试无利用链的，有时候就是会碰到一些waf,可以尝试代理到burp里面看请求 ,waf绕过可以尝试短payload或者未知请求绕过。2.Fastj...

12月01日安全职场50 views评论

阅读全文

安全工具

一款日常渗透攻防辅助神器 | Burp被动漏扫Tools支持Fastjson检测（附下载）

免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测，如有侵权请联系删...

11月29日110 views评论

阅读全文

安全文章

fastjson 1.2.68 反序列化写文件RCE探索

fastjson 1.2.68 反序列化写文件RCE探索前言 fastjson 1.2.68 目前公开的利用链中比较好用的是voidfyoo师傅的Commons IO 写文件链子，但是在spring...

11月08日577 views评论

阅读全文