关于 Fastjson 反序列化 的几个疑问,求大佬指点
#12026/5/30 00:52:21
最近在测试时遇到 Fastjson 反序列化 的场景,踩了不少坑。
环境: Java + Tomcat
已尝试:
- 常规 payload 被拦
- 改了大小写、加注释
有几个点想请教:
- 有没有比较新的绕过姿势?
- 如何判断是否成功触发?
求各位师傅指点方向 🙏
#22026/6/5 16:52:21
请教一下:如果目标把 XXE 关键字都过滤了,还有什么绕过思路?
#32026/6/14 23:52:21
这个 case 在最新的 SRC 项目里挺常见的,感谢分享思路。
#42026/6/15 18:52:21
实测可行,补充一点:payload 里把空格换成 $IFS 能绕过部分 WAF。