Skip to content

Abandoned - fastjson 1.2.24-1.2.80 poc & vulns env & how to check vul

Notifications You must be signed in to change notification settings

Whoopsunix/fastjson_study

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

10 Commits
 
 
 
 
 
 
 
 

Repository files navigation

fastjson 全版本漏洞复现

By. Whoopsunix

Why fastjson?

fastjson复现简单、调用链多,很多时候反而更像是在看其他组件的序列化链,很适合拿来做java研究

所以起了个项目记录自己复现过的POC,顺便记录pom依赖,毕竟找环境还是挺麻烦的

后续poc 环境 分析文章在 github 同步 https://github.com/Whoopsunix/fastjson_study

备份笔记的时候发现很多后面实测案例都丢掉了 分项目维护起来很麻烦 之后有更改都写到 博客 里去了

环境

环境

json检测

通过实战案例记录不断更新,如何区分不同的框架、dnslog探测、版本探测、利用链探测

fastjson check

全版本poc合集

1.2.24-1.2.80 poc

bypass

绕过手段

bypass

其他利用

二次反序列化、原生反序列化相关在其他项目中

感谢以下师傅的研究

About

Abandoned - fastjson 1.2.24-1.2.80 poc & vulns env & how to check vul

Topics

Resources

Stars

Watchers

Forks

Releases

No releases published

Packages

No packages published