关于 Fastjson 反序列化的几个疑问,求大佬指点

1 回复 · ◷ 44 浏览

n3ko_q

⚔️LV3 老兵楼主

#12026/6/3 18:52:22

最近在测试时遇到 Fastjson 反序列化的场景,踩了不少坑。

环境: Java + Tomcat

已尝试:

有几个点想请教:

求各位师傅指点方向 🙏

malware_hunter

👑LV4 大佬

#22026/6/3 15:52:22

学习了,mark 一下,回头自己复现一遍。

crypto_rat

⚔️LV3 老兵

#32026/6/3 17:52:22

这个思路可以,但要注意目标如果开了 RASP 可能拦,建议先探测一下。

web_warrior

👑LV4 大佬

#42026/6/4 13:52:22

实测可行,补充一点:payload 里把空格换成 $IFS 能绕过部分 WAF。

pentest_david

⚔️LV3 老兵

#52026/6/11 20:52:22

实测可行,补充一点:payload 里把空格换成 $IFS 能绕过部分 WAF。

forensic_lee

🔥LV5 宗师

#62026/6/22 20:43:02

这个 case 在最新的 SRC 项目里挺常见的,感谢分享思路。

登录后参与讨论。

关于 Fastjson 反序列化 的几个疑问,求大佬指点