fastjson共5篇
利用抽象语法树挖掘Fastjson可用的Gadget-孤勇者社区

利用抽象语法树挖掘Fastjson可用的Gadget

前言 在SUSCTF 2022竞赛后的WP中, 看到有师傅是直接应用标题后台提供的lib包中的jar文件对Fastjson的Gadget停止自动发掘, 于是本人想尝试一下能不能完成一下发掘JNDI注入的Fastjson-Gadget, 故...
孤勇者的头像-孤勇者社区钻石会员孤勇者2年前
012219
FastJson多版本反序列化远程命令执行漏洞(fastjson的漏洞)-孤勇者社区

FastJson多版本反序列化远程命令执行漏洞(fastjson的漏洞)

破绽描绘 FastJson是阿里巴巴的开源JSON解析库,它能够解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也能够从JSON字符串反序列化到JavaBean。     破绽版本 fastjson-1...
孤勇者的头像-孤勇者社区钻石会员孤勇者2年前
1204812
fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)-孤勇者社区

fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)

破绽简介 fastjson在解析json的过程中,支持运用autoType来实例化某一个详细的类,并调用该类的set/get办法来访问属性。经过查找代码中相关的办法,即可结构出一些歹意应用链。 浅显了解就是:...
孤勇者的头像-孤勇者社区钻石会员孤勇者2年前
049812
Fastjson 1.2.47 远程命令执行漏洞-孤勇者社区

Fastjson 1.2.47 远程命令执行漏洞

破绽简介 Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被普遍应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者能够应...
孤勇者的头像-孤勇者社区钻石会员孤勇者2年前
0136811
FastJson多版本反序列化远程命令执行漏洞-孤勇者社区

FastJson多版本反序列化远程命令执行漏洞

破绽描绘 FastJson是阿里巴巴的开源JSON解析库,它能够解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也能够从JSON字符串反序列化到JavaBean。     破绽版本 fastjson-1...
孤勇者的头像-孤勇者社区钻石会员孤勇者2年前
0437