Java安全之fastjson链分析 10 Jun, 2021 行业新闻 前段时间有师傅来问了我fastjson的问题,虽然知道大概但没分析过具体链,最近有空了正好分析一下fastjson两个反序列化洞:1.2.22=version=1.2.241.2.25=version=1.2.47简述与使用... Read More
初识Fastjson漏洞(环境搭建及漏洞复现 29 Jun, 2020 行业新闻 目前网上的资源整理不是针对入门玩家,都需要一定的java漏洞调试基础,本文从一个简单的FastJson 漏洞开始,搭建漏洞环境,分析漏洞成因,使用条件等。从入门者的角度看懂并复现漏洞... Read More
Java动态类加载,当FastJson遇到内网 02 Jan, 2020 行业新闻 都快2020年了,平时偶尔还是能遇到一些低版本的FastJson漏洞,现在遇到比较多的是部署在内网服务器上的场景。从外网对漏洞点进行探测,只有DNSLog可以成功请求回来,因为目标服务器... Read More
FastJson反序列化漏洞利用的三个细节 - TemplatesImpl的利用链 12 Aug, 2018 行业新闻 0. 前言记录在FastJson反序列化RCE漏洞分析和利用时的一些细节问题。1. TemplatesImpl的利用链关于 parse 和 parseObjectFastJson中的 parse() 和 parseObject()方法都可以... Read More